我有几个AWS Lambda函数,每个函数包含以下别名(阶段): dev , qa 和 prod 。
每个函数都有一些环境变量,每个别名应具有不同的值,但是Lambda不支持在别名级别上设置环境变量,因此我决定使用DynamoDB表存储变量值。
现在,由于这些变量包含敏感信息,我想确保对该表的访问受到尽可能的限制。
所以我想拒绝所有人的访问,只允许管理员和Lambda函数访问它。
我知道我可以通过使用IAM上的适当角色/策略来提供对该表的访问权限,但是如何确保仅向我明确为其提供访问权限的用户/功能提供访问权限?
答案 0 :(得分:2)
看看Parameter Store,它是分层的,可以让您在每个阶段设置权限(例如here),也可以基于标记进行控制(例如here)。
或者您可以将参数与Lambda函数上载打包在一起。
有关更多想法,请参见this article。