sam pipeline bootstrap 创造了一个无所不能的角色
[英]sam pipeline bootstrap created an omnipotent role
问题描述
在AWS SAM 教程研讨会的 CI/CD 部分,当我运行sam pipeline init --bootstrap并完成配置时,使用此策略创建了一个角色:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "*",
"Resource": "*",
"Effect": "Allow"
}
]
}
这不会授予角色对我的 AWS 帐户的完全权限,这是一个很大的禁忌吗? 还是因为权限授予了 AWS 服务而不是用户?
这是信任关系:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
1 个解决方案
解决方案1
1 已采纳 2023-01-02 02:25:52
拥有具有这些权限的角色很好。 当您创建普通 AWS 账户(换句话说,我不包括那些由 Control Tower 等企业登录区创建的账户)时,它会附带一个名为AdministratorAccess 的策略和一个名为 Administrator的角色。
最佳实践是您允许谁或什么以及何时使用该策略。
角色优先于用户,因为角色提供安全凭证。 对于用户,您拥有需要保护的持久凭证。
在这种情况下,您允许 CloudFormation 担任此角色。 这是有道理的,因为 CloudFormation 通常需要能够创建和修改任何资源,包括 IAM 角色。 如果您知道您不会创建或修改 IAM 资源,您可以使用限制性更强的角色(最低权限),例如使用如下所示的PowerUserAccess 策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"NotAction": [
"iam:*",
"organizations:*",
"account:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:DeleteServiceLinkedRole",
"iam:ListRoles",
"organizations:DescribeOrganization",
"account:ListRegions"
],
"Resource": "*"
}
]
}
如何在 AWS:IAM:Role 语句条件中引用 SAM 条件
[英]How to reference SAM Conditions in the AWS:IAM:Role Statement Condition
Lambda 和使用 AWS SAM 的 Mongo Atlas Serverless 之间的 IAM 角色连接
[英]IAM role connectivity between Lambda and Mongo Atlas Serverless using AWS SAM
AWS SAM Lambda - 无法导入模块“main”:没有名为“requests”、“msal”的模块。 使用 Azure CI/CD 的管道
[英]AWS SAM Lambda - Unable to import module 'main': No module named 'requests', 'msal' . pipeline using Azure CI/CD
如何构建、package 和部署 AWS SAM lambda function 从 azure Devops CI/CD 管道到 AWS
[英]how to build, package and deploy AWS SAM lambda function of python from azure Devops CI/CD pipeline to AWS
在 SAM 模板(CF 堆栈)中引用 AWS Lambda 的角色 YAML
[英]Referencing an AWS Lambda's role inside a SAM Template (CF Stack) YAML
当两者都是使用不同的 SAM 模板创建时,如何在 lambda 中获取 SNS 主题参考
[英]How to get SNS Topic reference in lambda when both are created with different SAM templates
创建lambda时如何获取cloudformation创建的角色
[英]How to get at the role created by cloudformation when creating a lambda
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
在 AWS SAM 中为 Lambda 赋予角色
如何在 AWS:IAM:Role 语句条件中引用 SAM 条件
使用已创建的角色部署 AWS SAM 函数
Lambda 和使用 AWS SAM 的 Mongo Atlas Serverless 之间的 IAM 角色连接
AWS SAM Lambda - 无法导入模块“main”:没有名为“requests”、“msal”的模块。 使用 Azure CI/CD 的管道
如何构建、package 和部署 AWS SAM lambda function 从 azure Devops CI/CD 管道到 AWS
向自动创建的 IAM 角色添加策略
在 SAM 模板(CF 堆栈)中引用 AWS Lambda 的角色 YAML
当两者都是使用不同的 SAM 模板创建时,如何在 lambda 中获取 SNS 主题参考
创建lambda时如何获取cloudformation创建的角色
相关标签