我了解将基础结构部署为代码的目标,并赞赏能够执行代码同行审阅预部署的好处。从安全的角度来看,此技术控制使我确信对环境所做的更改均经过同行评审。
但是,具有相关权限的人(例如,具有所有者角色)仍然无法直接在控制台/云外壳上进行更改吗?然后,此更改将不会被同行评审。
只是想检查一下有什么控制措施可以防止这种情况发生?当然,我知道一种控制将是限制对项目或组织级别的IAM权限,以防止进行更改,因为那时只有terraform服务帐户可以进行更改,但我想了解是否还有其他控件。] >
我了解将基础结构部署为代码的目标,并赞赏能够执行代码同行审阅预部署的好处。从安全角度看,此技术控制...
没有什么可以阻止用户创建/更新/删除资源的方法。这样做的IAM权限。