1. Accueil
  2. Question et réponse
  3. Autorisation utilisateur Spinnaker et restrictions d'autorisation d'instance

Autorisation utilisateur Spinnaker et restrictions d'autorisation d'instance

2017-10-06 7 views
0

J'essaie de faire en sorte que Spinnaker prépare et déploie des AMI pour AWS Auto Scaling Group. Le problème est, l'instance a besoin de too many permissions. Comme indiqué dans Spinnaker blog post ("Dans le monde d'aujourd'hui, il est souvent considéré comme une mauvaise pratique de donner aux outils un accès total à vos environnements"), je veux savoir s'il existe un moyen de restreindre les permissions des spinnakers applications à leurs propres groupes, p.ex. s'ils sont autorisés à le faire dans AWS.Autorisation utilisateur Spinnaker et restrictions d'autorisation d'instance

Bien sûr, le document indique que vous pouvez restreindre l'accès aux applications, mais est-ce suffisant? Est-ce qu'un membre de l'application A peut, d'une manière ou d'une autre (par exemple dans une phase de pipeline), appeler les API AWS en utilisant la permission de Spinnaker? (donc pouvoir modifier les grappes de l'application B). Disons que l'accès SSH à l'instance Spinnaker est déjà désactivé

Source

2017-10-06 Salvian Reynaldi

Répondre

0

Si l'autorisation est correctement configurée, le membre de l'application A ne devrait pas pouvoir modifier l'application B s'il n'en a pas l'autorisation (voir here). Cette protection est en place au niveau de l'application Spinnaker, pas au niveau de la plate-forme de fournisseur de cloud (EC2). Spinnaker a été conçu avec des informations d'identification en mode «dieu». En fait, les mêmes informations d'identification sont utilisées pour manipuler les ressources de cloud de l'application A et B.

Source

2017-10-11 17:48:32

+0

est-il prévu de changer les informations d'identification de l'exécuteur de pipeline en mode "dieu"/support? Pour soutenir notre cas actuel: les équipes déploient toujours des applications sur un seul compte AWS partagé, je veux être en mesure de suivre qui change et quand ce compte est dans un tableau de bord unique, c'est CloudTrail dans le cas d'AWS. Je veux être capable de voir quelque chose comme "l'utilisateur A modifie ASG X". Mon piratage actuel consiste à lancer spinnaker sur l'ordinateur portable de chaque développeur –

+0

Pas pour le moment, mais nous sommes ouverts aux suggestions. Le problème se termine généralement par le fait que tous les fournisseurs de cloud n'ont pas un modèle de sécurité IAM/RBAC. Vous avez raison de dire que l'idéal est que les agents de mise en cache de Spinnaker utilisent des informations d'identification en lecture seule et que les informations d'identification des utilisateurs finaux soient utilisées le cas échéant. Nous devrons trouver comment extraire (et stocker en toute sécurité) les informations d'identification de l'utilisateur final auprès du fournisseur de cloud. Ensuite, nous devons nous demander quel rôle les pipelines déclenchés automatiquement utilisent-ils? C'est un problème poilu avec des réponses peu claires. –

 Questions connexes

  • Aucun problème connexe^_^