Warning: file_get_contents(/data/phpspider/zhask/data//catemap/1/amazon-web-services/12.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Amazon web services AWS IAM:列出角色已访问的资源_Amazon Web Services_Amazon Iam_Serverless - Fatal编程技术网
Fatal编程技术网

Amazon web services AWS IAM:列出角色已访问的资源

amazon-web-services

Amazon web services AWS IAM:列出角色已访问的资源,amazon-web-services,amazon-iam,serverless,Amazon Web Services,Amazon Iam,Serverless,我目前正在从事一个无服务器项目,该项目有两个aws lambda函数,它们正在访问一些aws资源。我目前的角色声明相当开放 iamRoleStatements: - Effect: Allow Action: - iot:* - sts:* - ssm:* Resource: - '*' 现在我想加强政策,只给职能部门实际需要的授权。有没有办法查看动态创建的角色在资源上使用了哪些操作? 有了这些

我目前正在从事一个无服务器项目,该项目有两个aws lambda函数,它们正在访问一些aws资源。我目前的角色声明相当开放

  iamRoleStatements:
    - Effect: Allow
      Action:
        - iot:*
        - sts:*
        - ssm:*
      Resource:
        - '*'
现在我想加强政策,只给职能部门实际需要的授权。有没有办法查看动态创建的角色在资源上使用了哪些操作? 有了这些信息,我可以创建一个更细粒度的策略。目前,我正在使用的线索和错误,这是不是很有效

感谢您的反馈,
Patrick

最佳做法是为每个lambda赋予其自己的IAM角色,从而可以更严格地管理每个lambda上的权限。有些框架,比如serverless,有一些插件可以让你做到这一点

一旦您设置了每个lambda的IAM角色,请转到AWS Cloudtrail。它将为您提供lambda执行的最新事件—您可以很容易地看到lambda在做什么并将其收紧

当然,检查函数的实际代码要好得多,但是如果出于任何原因没有可用的代码,这可能是一个很好的折衷办法