Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

如何通过Lambda别名限制AWS密码?

0

【以下的问题经过翻译处理】 我想要一个QA密钥和一个Production密钥,我希望Lambda QA别名只能访问QA密钥,同样Lambda Production别名也只能访问Production密钥。

每个Lambda函数别名都使用一个执行角色,在函数级别设置。因此,任何与此角色关联的IAM策略都会应用于所有别名。这意味着QA别名Lambda可以访问Production密钥。因此,基于执行角色的策略似乎不是答案。

我正在尝试理解如何将基于资源的策略应用于密钥,但似乎无法选择将Principal设置为Lambda别名的完整ARN。这样做是否可能?

除非我误用了这些系统,否则似乎无法使用Lambda别名保持密钥分离和安全。

Themen
ServerlosKalkulationSicherheit, Identität & KonformitätAWS Framework mit guter Struktur
Tags
AWS LambdaAWS GeheimnismanagerSicherheit
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 5 Monaten49 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 嗨。

我看到了这个问题并尝试了各种方法。

但我无法成功。

不幸的是,无论是Lambda的执行角色还是Secret的Rolebase策略似乎都无法将特定的ARN(如别名)作为条件包含在内。

如果你想限制IAM角色,我认为你应该像@Uri建议的那样在函数级别及以上分离QA和Production。

另外,Lambda每个版本都有不同的执行角色。

如果别名指向另一个版本,你可以间接地分离角色。

这也可以实现基于角色的密钥访问控制。

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 5 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt