只是想知道确定应该为 CloudFormation 模板授予哪些权限的最佳实践是什么?
经过一段时间尝试授予所需的最低权限后,我发现这确实非常耗时且容易出错。我注意到,根据我的堆栈的状态,真正的新的、一些更新的还是删除的,我将需要不同的权限。
我想,应该有一些解析器可以让 CloudFormation 模板确定它所需的最小权限集?
也许我可以授予ec2:*对标记为成本中心:我的项目名称的资源的访问权限?这个可以吗?但我想知道当我更改项目名称时会发生什么?
或者,基于 CloudFormation 部分通常仅在 CodeCommit/Github/CodePipeline 之外执行的假设,可以假设可以授予 ec2:* 访问权限,而且这不太可能公开/容易被黑客攻击? --- 虽然这对我来说听起来是一个有缺陷的陈述......
最佳答案
短期内,您可以使用aws-leastprivilege 。 But it doesn't support every resource type .
长期来看:as mentioned in this 2019 re:invent talk ,CloudFormation 正在致力于开源并将其大部分资源类型迁移到新的公共(public) resource schema 。这样做的好处之一是您将能够查看执行每项操作所需的权限。
例如对于 AWS::ImageBuilder::Image ,架构说
"handlers": {
"create": {
"permissions": [
"iam:GetRole",
"imagebuilder:GetImageRecipe",
"imagebuilder:GetInfrastructureConfiguration",
"imagebuilder:GetDistributionConfiguration",
"imagebuilder:GetImage",
"imagebuilder:CreateImage",
"imagebuilder:TagResource"
]
},
"read": {
"permissions": [
"imagebuilder:GetImage"
]
},
"delete": {
"permissions": [
"imagebuilder:GetImage",
"imagebuilder:DeleteImage",
"imagebuilder:UnTagResource"
]
},
"list": {
"permissions": [
"imagebuilder:ListImages"
]
}
}
关于amazon-web-services - 是否有办法确定 CloudFormation 模板实际需要哪些 IAM 权限?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51596254/