gpt4 book ai didi

amazon-web-services - 是否有办法确定 CloudFormation 模板实际需要哪些 IAM 权限?

转载 作者:行者123 更新时间:2023-12-03 14:49:31 24 4
gpt4 key购买 nike

只是想知道确定应该为 CloudFormation 模板授予哪些权限的最佳实践是什么?

经过一段时间尝试授予所需的最低权限后,我发现这确实非常耗时且容易出错。我注意到,根据我的堆栈的状态,真正的新的、一些更新的还是删除的,我将需要不同的权限。

我想,应该有一些解析器可以让 CloudFormation 模板确定它所需的最小权限集?

也许我可以授予ec2:*对标记为成本中心:我的项目名称的资源的访问权限?这个可以吗?但我想知道当我更改项目名称时会发生什么?

或者,基于 CloudFormation 部分通常仅在 CodeCommit/Github/CodePipeline 之外执行的假设,可以假设可以授予 ec2:* 访问权限,而且这不太可能公开/容易被黑客攻击? --- 虽然这对我来说听起来是一个有缺陷的陈述......

最佳答案

短期内,您可以使用aws-leastprivilegeBut it doesn't support every resource type .

长期来看:as mentioned in this 2019 re:invent talk ,CloudFormation 正在致力于开源并将其大部分资源类型迁移到新的公共(public) resource schema 。这样做的好处之一是您将能够查看执行每项操作所需的权限。

例如对于 AWS::ImageBuilder::Image ,架构说

    "handlers": {
"create": {
"permissions": [
"iam:GetRole",
"imagebuilder:GetImageRecipe",
"imagebuilder:GetInfrastructureConfiguration",
"imagebuilder:GetDistributionConfiguration",
"imagebuilder:GetImage",
"imagebuilder:CreateImage",
"imagebuilder:TagResource"
]
},
"read": {
"permissions": [
"imagebuilder:GetImage"
]
},
"delete": {
"permissions": [
"imagebuilder:GetImage",
"imagebuilder:DeleteImage",
"imagebuilder:UnTagResource"
]
},
"list": {
"permissions": [
"imagebuilder:ListImages"
]
}
}

关于amazon-web-services - 是否有办法确定 CloudFormation 模板实际需要哪些 IAM 权限?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51596254/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com