Блог

Я создал стек, в нем мы создаем лямбда-выражение, выполняем некоторый код из SDK, получаем доступ к s3, записываем в dynamo и некоторые другие вещи, проблема сейчас в том, что мы пытаемся выполнить развертывание в другой учетной записи / регионе, который мы больше никогда не будем развертывать, но теперь мы сталкиваемся с множеством проблем, связанных с разрешениями, некоторые из них моя команда уже видит и должным образом документированы, но в других случаях другие команды могут сталкиваться с этими ошибками, а у нас нет такого контекста, мы пытаемся выполнять одно за другим по мере их появления, но это что-то болезненное и мой вопрос заключается в том, есть ли способ описать / проанализировать политики, которые, как я предполагаю, есть у rol, чтобы выполнить этот стек перед инициализацией, или как я могу выяснить, какое разрешение требуется моему ресурсу? или в основном это просмотр всех разрешений одно за другим

Мне бы очень хотелось, чтобы что-то подобное существовало, но я не предвижу, что в ближайшее время будет разработано надежное. Однако, поскольку я сам прошел по этому пути, я бы предложил вам что-то более управляемое.

Роль службы AWS CloudFormation позволяет передавать роль с более широкими разрешениями, чем те, которые предоставлены обычному пользователю. В двух словах, сначала необходимо создать роль с некоторыми прилично большими разрешениями или даже административными. Затем вам нужно разрешить обычным пользователям выполнять iam:PassRole действие для этого ресурса (роли). Наконец, при развертывании стека CloudFormation обязательно укажите созданную вами роль в качестве «роли службы» в параметрах стека.

С точки зрения безопасности есть плюсы и минусы как в использовании роли службы, так и в предоставлении множества различных разрешений обычным пользователям. Вы должны сами оценить, является ли это риском, которым вы можете управлять.