我的AWS账户中有一堆lambda函数用于日常内部操作,应该只由我帐户中的特定用户组调用。这些功能不应该从外面访问。
我在AWS Service Catalog中创建了一个产品组合,将这些lambda函数作为单独的产品,并授予对特定组的访问权限,一切都运行良好。
我想知道,如果这被认为是一种好习惯。
答案 0 :(得分:0)
是的,如果您通常使用该服务作为在帐户中使用服务的方式,则可以使用服务目录执行此操作。或者,您可能会看到最常见的模式是通过IAM用户的IAM策略或用户用来登录管理控制台的角色来实现。
我不太清楚你的意思是“这些功能不应该从外面访问。”因为默认情况下不能在帐户外访问函数,即不属于您的AWS账户的人。只有在IAM角色授予主体lambda:invoke操作时,才能调用函数。这是一个明确的行动,有人需要为该政策存在而做。
所以是的,你正在做的是一个可行的选择,还有另一个选项,所有这些都取决于你是否已经投入服务目录。我会说,如果您只是为了使用服务目录,IAM选项可能更容易,更轻量,但如果您已经使用SC,那么请使用您概述的路线。