Security
AWS Lambda 策略 - 允許根據使用者編輯 lambda 函式
在創建 AWS 策略時,是否有辦法創建允許查看、編輯和創建 lambda 函式的策略,具體取決於之前創建該函式的使用者?
我正在嘗試這樣做,但我找不到有關“創建/更新/刪除功能的使用者”的條件或參數的資訊
簡短的回答是否定的,這目前是不可能的,但是多賬戶策略可能會提供一種不同的方法來解決這個問題。
為什麼這是不可能的?
為此,您需要 Lambda 向 IAM 提供上下文鍵,其中包含有關哪個使用者創建了 lambda 的資訊。目前 Lambda 不提供任何上下文鍵。
Lambda 沒有可在策略語句的 Condition 元素中使用的特定於服務的上下文鍵。有關可用於所有服務的全域上下文鍵的列表,請參閱 IAM 策略參考中的適用於條件的鍵。
多賬戶策略
根據創建者來控制對 Lambda 的權限的願望聽起來像是一個問題,您需要在使用者或團隊之間提供管理隔離。
例如,如果使用者 A(或團隊 A 的人)創建了一個函式,那麼他們應該能夠在其整個生命週期內對其進行管理,但其他使用者(或來自其他團隊的人)不應該能夠干預它。
如果這是您面臨的問題類型,那麼擁有多個 AWS 賬戶對您來說可能是一個很好的解決方案。
AWS 組織
組織為多個帳戶提供基於策略的管理。一個常見的情況是:
- 一個賬單支付賬戶
- 一個身份帳戶(包含所有使用者登錄)
- 資源賬戶(包含 AWS 資源和跨賬戶角色,以允許來自身份賬戶的使用者對資源具有適當級別的訪問權限)
您將創建資源帳戶以提供管理隔離,因此使用者 A 將擁有自己的帳戶,並且可以做任何您讓他們做的事情,而不必擔心會干擾使用者 B。同樣,團隊可以訪問帳戶。
這還提供了一個好處,即提供每個帳戶的賬單明細,並將任何安全事件的爆炸半徑限制在它發生的帳戶中。