Amazon web services AWS IAM:列出角色已访问的资源
我目前正在从事一个无服务器项目,该项目有两个aws lambda函数,它们正在访问一些aws资源。我目前的角色声明相当开放Amazon web services AWS IAM:列出角色已访问的资源,amazon-web-services,amazon-iam,serverless,Amazon Web Services,Amazon Iam,Serverless,我目前正在从事一个无服务器项目,该项目有两个aws lambda函数,它们正在访问一些aws资源。我目前的角色声明相当开放 iamRoleStatements: - Effect: Allow Action: - iot:* - sts:* - ssm:* Resource: - '*' 现在我想加强政策,只给职能部门实际需要的授权。有没有办法查看动态创建的角色在资源上使用了哪些操作? 有了这些
iamRoleStatements:
- Effect: Allow
Action:
- iot:*
- sts:*
- ssm:*
Resource:
- '*'
现在我想加强政策,只给职能部门实际需要的授权。有没有办法查看动态创建的角色在资源上使用了哪些操作?
有了这些信息,我可以创建一个更细粒度的策略。目前,我正在使用的线索和错误,这是不是很有效
感谢您的反馈,
Patrick最佳做法是为每个lambda赋予其自己的IAM角色,从而可以更严格地管理每个lambda上的权限。有些框架,比如serverless,有一些插件可以让你做到这一点 一旦您设置了每个lambda的IAM角色,请转到AWS Cloudtrail。它将为您提供lambda执行的最新事件—您可以很容易地看到lambda在做什么并将其收紧 当然,检查函数的实际代码要好得多,但是如果出于任何原因没有可用的代码,这可能是一个很好的折衷办法