Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post

如何通过Lambda别名限制AWS密码?

0

【以下的问题经过翻译处理】 我想要一个QA密钥和一个Production密钥,我希望Lambda QA别名只能访问QA密钥,同样Lambda Production别名也只能访问Production密钥。

每个Lambda函数别名都使用一个执行角色,在函数级别设置。因此,任何与此角色关联的IAM策略都会应用于所有别名。这意味着QA别名Lambda可以访问Production密钥。因此,基于执行角色的策略似乎不是答案。

我正在尝试理解如何将基于资源的策略应用于密钥,但似乎无法选择将Principal设置为Lambda别名的完整ARN。这样做是否可能?

除非我误用了这些系统,否则似乎无法使用Lambda别名保持密钥分离和安全。

Temas
Sin servidorCálculoSeguridad, identidad y cumplimientoAWS Well-Architected Framework
Etiquetas
AWS LambdaAWS Secrets ManagerSeguridad
Idioma
中文 (简体)
profile picture
EXPERTO
rePost Polyglot
preguntada hace 5 meses49 visualizaciones
1 Respuesta
0

【以下的回答经过翻译处理】 嗨。

我看到了这个问题并尝试了各种方法。

但我无法成功。

不幸的是,无论是Lambda的执行角色还是Secret的Rolebase策略似乎都无法将特定的ARN(如别名)作为条件包含在内。

如果你想限制IAM角色,我认为你应该像@Uri建议的那样在函数级别及以上分离QA和Production。

另外,Lambda每个版本都有不同的执行角色。

如果别名指向另一个版本,你可以间接地分离角色。

这也可以实现基于角色的密钥访问控制。

profile picture
EXPERTO
rePost Polyglot
respondido hace 5 meses

No has iniciado sesión. Iniciar sesión para publicar una respuesta.

Una buena respuesta responde claramente a la pregunta, proporciona comentarios constructivos y fomenta el crecimiento profesional en la persona que hace la pregunta.

Pautas para responder preguntas

Contenido relevante