[英]How do you shift/escalate your AWS lambda from one envr to another (eg. dev to prod) using alias?
[英]How to setup Dev Test Prod AWS ENVs same Organization
我正在使用 IAM 角色在 AWS 環境之間切換。
我有 3 個與 3 個環境匹配的假定角色:Dev、Test、Prod。
這些假定的角色具有相同的權限,例如 EC2、S3、...
那么我如何限制信任開發、測試角色的用戶不能通過 IAM 策略接觸 Prod 角色? 我嘗試使用服務的標簽來限制。
這是最好的方法嗎? 你有這方面的最佳實踐嗎?
"Condition": {
"ForAllValues:StringEquals": {
"aws:Environment": [
"dev",
]
}
}
提前致謝!
使用標簽是一種可以接受的方式。
您還可以在資源名稱中使用通配符來限制用戶。
例如,如果您在所有資源中包含諸如“Prod”和“Dev”之類的環境術語,則可以創建包含這些術語的策略。
這可能是 Dev 角色的策略:
{
"Version": "2012-10-17",
"Statement": {
[
"Effect": "Allow",
"Action": "dynamodb:*",
"Resource": "arn:aws:dynamodb:us-east-1:account-id:*Dev*"
],
[
"Effect": "Deny",
"Action": "dynamodb:*",
"Resource": "arn:aws:dynamodb:us-east-1:account-id:*Prod*"
]
}
}
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.