serverless-framework - Serverless, Inc 是否会看到我的 AWS 凭证？

Question

我想开始使用无服务器框架来管理我公司的 lambda 部署，但我们处理 PHI 的安全性非常严格。我们的合规总监和 CTO 担心将我们的 AWS key 和 secret 传递给另一家公司。

当做 serverless deploy ，AWS 凭证真的会传递给 Serverless, Inc 吗？

如果没有，有人可以指出我可以在代码中证明这一点的地方吗？

谢谢!

Answer 1

运行无服务器部署不仅仅是一次调用，而是多次调用。
AWS 示例(过度简化):

检查部署 s3 存储桶是否已存在

创建 S3 存储桶

将包上传到 s3 存储桶

调用 CloudFormation

检查 CloudFormation 堆栈状态

获取已创建资源的信息(例如已创建 API 的端点 URL)

这些调用可能会根据您正在做的事情以及您之前做过的事情而改变。

我想说明的一点是，这些包含您的凭据的调用并非都位于一个地方，如果您想对 Serverless Framework 及其所有依赖项进行完整的代码审查，请尽情享受。

但在幕后，我们知道它实际上使用的是 JavaScript aws-sdk(请查看 package.json)，并且我们知道使用 {service}.{region}.amazonaws.com 的端点。

因此，为了向您的雇主证明除了 AWS 之外，您的凭证不会被转移到任何地方，您可以在运行wireshark 的情况下运行无服务器部署(其他网络数据包分析器可用)。这样你就可以看到任何不会出现在 amazonaws.com 上的东西

但是等等，为什么在我运行部署时会调用 serverless.com 和 serverlessteam.com？

嗯，这只是跟踪一些统计数据，您可以看到他们跟踪的内容 here .但是，如果您是 super 偏执狂，可以使用 serverless slstats --disable 关闭此功能。 .