Блог

Мы (в основном с радостью ;)) используем AWS CDK для развертывания нашего стека приложений в нескольких средах (например, производство, централизованная разработка, индивидуальная разработка). Теперь мы хотим повысить безопасность, применив принцип наименьших привилегий к роли развертывания. Поскольку код CDK уже содержит всю информацию о том, какие службы он будет касаться, существует ли наилучшая практика создания определения роли?

Очевидно, что он не может быть частью стека, поскольку он необходим для развертывания стека. Существует ли какой — либо механизм, встроенный в CDK (например, используется распределение по облачным фронтам, поэтому роль развертывания должна иметь разрешение на создание, обновление и удаление распределений по облачным фронтам-возможно, даже после того, как распределение по облачным фронтам сопоставлено только с этим распределением).

Есть какие-нибудь лучшие практики, как этого добиться?

Здесь вы сталкиваетесь с проблемой курицы и яйца. (Мы сталкиваемся с аналогичной проблемой с секретным менеджером и инициализацией секретов) практически единственное решение, которое я нашел, которое работает, — это сценарий настройки в первый раз, который использует SDK или интерфейс командной строки для запуска необходимых команд для этой настройки в первый раз. Тогда вы можете сослаться на то, что находится за пределами этого.

Однако это также зависит от того, какие роли вы выполняете. Для развертывания Cdk в значительной степени требуется доступ к любому заданному ресурсу, который вы, возможно, настраиваете, но вы можете ограничить его через пользователей. Ваш сценарий настройки корневого администратора, хранящийся в секретном ящике блокировки, может настроить одного опытного пользователя, который затем может быть использован для первоначального развертывания cdk. Вы можете настроить дополнительные группы пользователей, которые могут развертывать cdk, или при первоначальной настройке создать роль cdk, которую может принять развертывание cdk.