在AWS云上面创建Developers用户组

问题

需要给开发人员创建一个专门的Developers用户组，保证开发人员只能够尽兴相关操作。注意，我这里使用的AWS国际版。

创建Developers用户组

打开用户组页面，点击用户组，创建组，进行用户组创建，如下图：

输入用户组名称，点击创建组，这里先放一放相关权限策略如下图：

绑定权限策略

选中已经成功创建的用户组，如下图：

准备选择合适的权限策略，如下图：

搜索“AmazonSSMReadOnlyAccess”策略，该策略主要用于开发人员通过SSM访问AWS相关服务，类似堡垒机作用，附件该策略到用户组，如下图：

按上述方式，在以此搜索“AWSCodeBuildDeveloperAccess”策略，“AWSCodePipeline_ReadOnlyAccess”策略，“AWSCodeCommitPowerUser”策略。前两者是为了让开发人员，能够看到CI/CD阶段状态；“AWSCodeCommitPowerUser”策略是让开发者能够正常使用codecommit代码库。最后，自带策略绑定结果如下图：

下面开始，准备添加自定义策略，如下图

开始创建“DenyChangesToMain”自定义策略，该策略主要是约束开发人员不能直接操作主干分支，具体策略如下：

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Deny",
			"Action": [
				"codecommit:GitPush",
				"codecommit:DeleteBranch",
				"codecommit:PutFile",
				"codecommit:MergeBranchesByFastForward",
				"codecommit:MergeBranchesBySquash",
				"codecommit:MergeBranchesByThreeWay",
				"codecommit:MergePullRequestByFastForward",
				"codecommit:MergePullRequestBySquash",
				"codecommit:MergePullRequestByThreeWay"
			],
			"Resource": "arn:aws:codecommit:*:账号ID:*",
			"Condition": {
				"StringEqualsIfExists": {
					"codecommit:References": [
						"refs/heads/main",
						"refs/heads/prod",
						"refs/heads/master"
					]
				},
				"Null": {
					"codecommit:References": "false"
				}
			}
		}
	]
}

以该json进行自定义策略创建，如下图：

点击下一步，进行策略创建，如下图：

最后，该策略就附加到用户组了，如下图：

按照上述方式添加“DisableDeleteBranch”自定义策略和“GetSecretValue”自定义策略。
“DisableDeleteBranch”自定义策略，主要防止开发者删除dev和release分支；“GetSecretValue”自定义策略主要让开发者能够正常读取配置中心数据。相关策略json如下：

“DisableDeleteBranch”自定义策略json：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "codecommit:DeleteBranch"
            ],
            "Resource": "arn:aws:codecommit:*:账号ID:*",
            "Condition": {
                "StringEqualsIfExists": {
                    "codecommit:References": [
                        "refs/heads/develop",
                        "refs/heads/release"
                    ]
                },
                "Null": {
                    "codecommit:References": "false"
                }
            }
        }
    ]
}

“GetSecretValue”自定义策略json：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:*:账号ID:secret:*"
        }
    ]
}

最终，Developers用户组权限策略，如下图：

到这里developer用户组就创建完了。

总结

这就是在AWS国际云上面的创建Developer用户组的全过程。有点复杂的地方，主要是自定义权限策略的编写。

参考

• IAM 用户组