如何通过Lambda别名限制AWS密码?

0

【以下的问题经过翻译处理】 我想要一个QA密钥和一个Production密钥,我希望Lambda QA别名只能访问QA密钥,同样Lambda Production别名也只能访问Production密钥。

每个Lambda函数别名都使用一个执行角色,在函数级别设置。因此,任何与此角色关联的IAM策略都会应用于所有别名。这意味着QA别名Lambda可以访问Production密钥。因此,基于执行角色的策略似乎不是答案。

我正在尝试理解如何将基于资源的策略应用于密钥,但似乎无法选择将Principal设置为Lambda别名的完整ARN。这样做是否可能?

除非我误用了这些系统,否则似乎无法使用Lambda别名保持密钥分离和安全。

profile picture
专家
已提问 6 个月前52 查看次数
1 回答
0

【以下的回答经过翻译处理】 嗨。

我看到了这个问题并尝试了各种方法。

但我无法成功。

不幸的是,无论是Lambda的执行角色还是Secret的Rolebase策略似乎都无法将特定的ARN(如别名)作为条件包含在内。

如果你想限制IAM角色,我认为你应该像@Uri建议的那样在函数级别及以上分离QA和Production。

另外,Lambda每个版本都有不同的执行角色。

如果别名指向另一个版本,你可以间接地分离角色。

这也可以实现基于角色的密钥访问控制。

profile picture
专家
已回答 6 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则