如何通过Lambda别名限制AWS密码?
0
【以下的问题经过翻译处理】 我想要一个QA密钥和一个Production密钥,我希望Lambda QA别名只能访问QA密钥,同样Lambda Production别名也只能访问Production密钥。
每个Lambda函数别名都使用一个执行角色,在函数级别设置。因此,任何与此角色关联的IAM策略都会应用于所有别名。这意味着QA别名Lambda可以访问Production密钥。因此,基于执行角色的策略似乎不是答案。
我正在尝试理解如何将基于资源的策略应用于密钥,但似乎无法选择将Principal设置为Lambda别名的完整ARN。这样做是否可能?
除非我误用了这些系统,否则似乎无法使用Lambda别名保持密钥分离和安全。
言語
中文 (简体)
1回答
- 新しい順
- 投票が多い順
- コメントが多い順
0
【以下的回答经过翻译处理】 嗨。
我看到了这个问题并尝试了各种方法。
但我无法成功。
不幸的是,无论是Lambda的执行角色还是Secret的Rolebase策略似乎都无法将特定的ARN(如别名)作为条件包含在内。
如果你想限制IAM角色,我认为你应该像@Uri建议的那样在函数级别及以上分离QA和Production。
另外,Lambda每个版本都有不同的执行角色。
如果别名指向另一个版本,你可以间接地分离角色。
这也可以实现基于角色的密钥访问控制。