sam pipeline bootstrap 創造了一個無所不能的角色
[英]sam pipeline bootstrap created an omnipotent role
問題描述
在AWS SAM 教程研討會的 CI/CD 部分,當我運行sam pipeline init --bootstrap並完成配置時,使用此策略創建了一個角色:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "*",
"Resource": "*",
"Effect": "Allow"
}
]
}
這不會授予角色對我的 AWS 帳戶的完全權限,這是一個很大的禁忌嗎? 還是因為權限授予了 AWS 服務而不是用戶?
這是信任關系:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
1 個解決方案
解決方案1
1 已采納 2023-01-02 02:25:52
擁有具有這些權限的角色很好。 當您創建普通 AWS 賬戶(換句話說,我不包括那些由 Control Tower 等企業登錄區創建的賬戶)時,它會附帶一個名為AdministratorAccess 的策略和一個名為 Administrator的角色。
最佳實踐是您允許誰或什么以及何時使用該策略。
角色優先於用戶,因為角色提供安全憑證。 對於用戶,您擁有需要保護的持久憑證。
在這種情況下,您允許 CloudFormation 擔任此角色。 這是有道理的,因為 CloudFormation 通常需要能夠創建和修改任何資源,包括 IAM 角色。 如果您知道您不會創建或修改 IAM 資源,您可以使用限制性更強的角色(最低權限),例如使用如下所示的PowerUserAccess 策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"NotAction": [
"iam:*",
"organizations:*",
"account:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:DeleteServiceLinkedRole",
"iam:ListRoles",
"organizations:DescribeOrganization",
"account:ListRegions"
],
"Resource": "*"
}
]
}
如何在 AWS:IAM:Role 語句條件中引用 SAM 條件
[英]How to reference SAM Conditions in the AWS:IAM:Role Statement Condition
Lambda 和使用 AWS SAM 的 Mongo Atlas Serverless 之間的 IAM 角色連接
[英]IAM role connectivity between Lambda and Mongo Atlas Serverless using AWS SAM
AWS SAM Lambda - 無法導入模塊“main”:沒有名為“requests”、“msal”的模塊。 使用 Azure CI/CD 的管道
[英]AWS SAM Lambda - Unable to import module 'main': No module named 'requests', 'msal' . pipeline using Azure CI/CD
如何構建、package 和部署 AWS SAM lambda function 從 azure Devops CI/CD 管道到 AWS
[英]how to build, package and deploy AWS SAM lambda function of python from azure Devops CI/CD pipeline to AWS
在 SAM 模板(CF 堆棧)中引用 AWS Lambda 的角色 YAML
[英]Referencing an AWS Lambda's role inside a SAM Template (CF Stack) YAML
當兩者都是使用不同的 SAM 模板創建時,如何在 lambda 中獲取 SNS 主題參考
[英]How to get SNS Topic reference in lambda when both are created with different SAM templates
創建lambda時如何獲取cloudformation創建的角色
[英]How to get at the role created by cloudformation when creating a lambda
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
在 AWS SAM 中為 Lambda 賦予角色
如何在 AWS:IAM:Role 語句條件中引用 SAM 條件
使用已創建的角色部署 AWS SAM 函數
Lambda 和使用 AWS SAM 的 Mongo Atlas Serverless 之間的 IAM 角色連接
AWS SAM Lambda - 無法導入模塊“main”:沒有名為“requests”、“msal”的模塊。 使用 Azure CI/CD 的管道
如何構建、package 和部署 AWS SAM lambda function 從 azure Devops CI/CD 管道到 AWS
向自動創建的 IAM 角色添加策略
在 SAM 模板(CF 堆棧)中引用 AWS Lambda 的角色 YAML
當兩者都是使用不同的 SAM 模板創建時,如何在 lambda 中獲取 SNS 主題參考
創建lambda時如何獲取cloudformation創建的角色
相關標簽