我想开始使用无服务器框架来管理我公司的 lambda 部署,但我们处理 PHI,因此安全性非常严格。我们的合规总监和首席技术官对将我们的 AWS key 和 secret 传递给另一家公司感到担忧。
进行无服务器部署时,AWS 凭证是否真的传递给 Serverless, Inc?
如果不是,有人可以指出我在代码中可以证明这一点的位置吗?
谢谢!
最佳答案
运行无服务器部署不仅仅是一次调用,而是多次调用。 AWS 示例(过于简单化):
- 检查部署 s3 存储桶是否已存在
- 创建 S3 存储桶
- 将包上传到 s3 存储桶
- 调用 CloudFormation
- 检查 CloudFormation 堆栈状态
- 获取已创建资源的信息(例如已创建 API 的端点网址)
这些调用可能会根据您正在做什么以及之前做过什么而改变。
我想说的是,这些包含您的凭据的调用并不全部位于一个位置,如果您想对无服务器框架及其所有依赖项进行完整的代码审查,请尽情享受。
但在幕后,我们知道它实际上使用 JavaScript aws-sdk(请查看 package.json ),并且我们知道哪些端点使用 {service}.{region}.amazonaws.com。
因此,为了向您的雇主证明,除了 AWS 之外,您的凭证不会转移到任何地方,您只需运行wireshark 来运行无服务器部署(可以使用其他网络数据包分析器)。这样您就可以看到 amazonaws.com 之外的任何内容
但是等等,为什么当我运行部署时会调用 serverless.com 和 serverlessteam.com?
好吧,这只是跟踪一些统计数据,您可以看到他们跟踪的内容 here 。但如果您非常偏执,可以使用 serverless slstats --disable 关闭此功能。
关于serverless-framework - Serverless, Inc 会看到我的 AWS 凭证吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58983901/