![](/img/trans.png)
[英]How do you shift/escalate your AWS lambda from one envr to another (eg. dev to prod) using alias?
[英]How to setup Dev Test Prod AWS ENVs same Organization
我正在使用 IAM 角色在 AWS 环境之间切换。
我有 3 个与 3 个环境匹配的假定角色:Dev、Test、Prod。
这些假定的角色具有相同的权限,例如 EC2、S3、...
那么我如何限制信任开发、测试角色的用户不能通过 IAM 策略接触 Prod 角色? 我尝试使用服务的标签来限制。
这是最好的方法吗? 你有这方面的最佳实践吗?
"Condition": {
"ForAllValues:StringEquals": {
"aws:Environment": [
"dev",
]
}
}
提前致谢!
使用标签是一种可以接受的方式。
您还可以在资源名称中使用通配符来限制用户。
例如,如果您在所有资源中包含诸如“Prod”和“Dev”之类的环境术语,则可以创建包含这些术语的策略。
这可能是 Dev 角色的策略:
{
"Version": "2012-10-17",
"Statement": {
[
"Effect": "Allow",
"Action": "dynamodb:*",
"Resource": "arn:aws:dynamodb:us-east-1:account-id:*Dev*"
],
[
"Effect": "Deny",
"Action": "dynamodb:*",
"Resource": "arn:aws:dynamodb:us-east-1:account-id:*Prod*"
]
}
}
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.