使用此AWS Lambda策略角色是否安全

时间：2018-05-03 07:43:48

标签： amazon-web-services amazon-s3 aws-lambda

在分配给lambda函数的IAM角色中，我正在使用此策略，但它正在返回＆＃34; Access Denied＆＃34;。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:*"
    },
    {
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::__YOUR_BUCKET_NAME_HERE__/*"    
    }
  ]
}

=========================================

我将资源更改为＆＃34; ＆＃34;它的工作原理。是否可以安全使用＆＃34; ＆＃34; ??

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": "logs:CreateLogGroup",
            "Resource": "arn:aws:logs:*:*:*"
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "*"
            ]
        }
    ]
}

1 个答案:

答案 0 :(得分：1)

我建议你尝试让初始政策有效。

新权限允许Lambda函数在Amazon S3中对帐户中所有存储桶执行任何操作。

如果您是唯一经营此帐户的人，那就没问题了。但是，如果您希望控制对其他用户可以使用的资源的访问权限，他们可以利用此角色执行他们通常无法执行的操作。