1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 你完全正确,这是云环境下的反模式,需要解决。但这不是一件容易的任务。可以采取以下几种不同的路径:
- 通过SCP禁止使用未使用的服务(允许这些服务的任何策略都将无效)
- 使用IAM边界限制开发人员可以创建和分配的角色
- 使用IaC创建角色
- 定义严格的IAM角色治理规则,包括命名约定
- 使用合规性检测非合规角色并将其删除
- 监控CloudTrail中IAM角色的创建并在使用情况上发出警报
我见过的其他方法,但不建议采用的方法是为开发人员提供自定义API以允许他们请求角色。我个人更喜欢采用合规性路线,并在控制措施上实施侦察性控制以识别不需要的角色。