我目前正在研究一个无服务器项目,该项目具有两个aws lambda函数,它们正在访问一些aws资源。我当前的角色声明非常公开
iamRoleStatements:
- Effect: Allow
Action:
- iot:*
- sts:*
- ssm:*
Resource:
- '*'
现在,我想加强政策,只给功能提供他们实际需要的授权。有没有办法查看使用动态创建的角色对资源执行的哪些操作? 有了这些信息,我就可以创建一个更细粒度的策略。目前,我正在使用“线索与错误”,这不是很有效。
感谢您的反馈, 帕特里克
答案 0 :(得分:1)
最佳做法是赋予每个lambda自己的IAM角色,从而使您能够更紧密地唯一地管理每个lambda的权限。诸如无服务器之类的某些框架具有允许您执行此操作的插件。
一旦您为每个lambda设置了IAM角色,请转到AWS Cloudtrail。它将为您提供lambda执行的最近事件-您可以轻松查看lambda的操作并将其收紧。
当然,最好检查一下函数的实际代码,但是如果由于某种原因而没有可用的代码,这可能是一个不错的妥协。