gpt4 book ai didi

amazon-web-services - 设置 Lambda 以在没有 IAM 策略的情况下创建 AWS CloudFormation

转载 作者:行者123 更新时间:2023-12-03 07:36:40 25 4
gpt4 key购买 nike

创建 IAM 用户的 CloudFormation 堆栈的最佳实践是什么?我正在创建一个 API,它将自动将客户端添加到我们的一项服务,即它使用 CloudFormation 模板来创建存储桶、dynamo 数据库条目、IAM 用户等。

您向具有特定参数的路由发送 POST 调用,它将创建客户端及其所需的一切;但是,出于安全考虑,我不太愿意允许 lambda 角色拥有 IAM 权限。我们非常重视 IAM 用户创建,因为这始终可能产生负面含义。

有没有一种方法可以创建 CloudFormation 堆栈,但需要管理员的手动批准才能创建它?我注意到没有办法“延迟”堆栈以获得具有正确权限的另一个实体的批准,因为,对于首先创建的堆栈,必须为创建它的实体制定适当的策略。

因此,总而言之,将 POST 请求发送到创建堆栈的 URL,该堆栈需要管理员批准并具有适当的权限才能激活创建。

我开始相信这是不可能的,那么有什么建议吗?

我们考虑了一些其他方法:

  • API 调用将生成的 CloudFormation 模板上传到 s3,然后管理员使用对象 URL 手动创建堆栈
  • 修改 CloudFormation 模板以删除 IAM 部分,并让管理员手动创建该部分

无论哪种方式,它都有点脱离了“自动化”方面。

有什么想法吗?

最佳答案

我建议使用AWS Step Functions围绕审批机制创建一个状态机(编码流程)。然后,POST 请求将使用特定 CFN 模板触发新的 Step Function 执行。我想您需要构建一个简单的前端来列出所有待处理的 Step Function 执行(即待批准)。

可以在 CodePipeline 之上构建替代解决方案。管道执行可以有 manual approval action并且可以对其进行配置,使其自行创建堆栈。

关于amazon-web-services - 设置 Lambda 以在没有 IAM 策略的情况下创建 AWS CloudFormation,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54149908/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com