本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用Amazon CloudFormation机制管理权限
要控制对Amazon资源的访问权限,Amazon Serverless Application Model(Amazon SAM) 可以使用与相同的机制Amazon CloudFormation。有关更多信息,请参阅《Amazon CloudFormation用户指南》Amazon Identity and Access Management中的控制访问权限。
授予用户管理无服务器应用程序的权限有三个主要选项。每个选项都为用户提供不同级别的访问控制。
-
授予管理员权限。
-
附加必要的Amazon托管策略。
-
授予特定Amazon Identity and Access Management (IAM) 权限。
根据您选择的选项,用户只能管理包含他们有权访问的Amazon资源的无服务器应用程序。
以下部分对每个选项进行了详述。
授予管理员权限
如果您向用户授予管理员权限,则他们可以管理包含任意Amazon资源组合的无服务器应用程序。这是最简单的选项,但它也为用户授予了最广泛的权限,因此他们能够执行影响最大的操作。
有关向用户授加管理员权限的更多信息,请参阅 IAM 用户指南中的创建您的第一个 IAM 管理员用户和组。
附上必要的Amazon托管策略
您可以使用Amazon托管策略向用户授予部分权限,而不是授予完全的管理员权限。如果使用此选项,请确保Amazon托管策略集涵盖用户管理的无服务器应用程序所需的所有操作和资源。
例如,以下Amazon托管策略足以部署示例 Hello World 应用程序:
-
AWSCloudFormationFullAccess
-
IAMFullAccess
-
AWSLambda_FullAccess
-
亚马逊 APIGatewayAdministrator
-
亚马逊 S3FullAccess
-
AmazoneC2ContainerRegistryFullAccess
有关向 IAM 用户附加策略的信息,请参阅 I AM 用户指南中的更改 IAM 用户的权限。
授予特定的 IAM 权限
要实现最精细的访问控制级别,您可以使用策略语句向用户授予特定的 IAM 权限。如果使用此选项,请确保策略声明包含用户管理的无服务器应用程序所需的所有操作和资源。
使用此选项的最佳做法是拒绝用户创建角色(包括 Lambda 执行角色)的权限,这样他们就无法向自己授予升级权限。因此,作为管理员,您必须首先创建一个 Lambda 执行角色,该角色将在用户要管理的无服务器应用程序中指定。有关创建 Lambda 执行角色的信息,请参阅在 IAM 控制台中创建执行角色。
对于示例 Hello World 应用程序,足以运行该应用程序。AWSLambdaBasicExecutionRole创建 Lambda 执行角色后,修改示例 Hello World 应用程序的Amazon SAM模板文件,为AWS::Serverless::Function资源添加以下属性:
Role:lambda-execution-role-arn
修改后的 Hello World 应用程序到位后,以下策略声明为用户授予足够的权限来部署、更新和删除应用程序:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudFormationTemplate", "Effect": "Allow", "Action": [ "cloudformation:CreateChangeSet" ], "Resource": [ "arn:aws:cloudformation:*:aws:transform/Serverless-2016-10-31" ] }, { "Sid": "CloudFormationStack", "Effect": "Allow", "Action": [ "cloudformation:CreateChangeSet", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeChangeSet", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:ExecuteChangeSet", "cloudformation:GetTemplateSummary", "cloudformation:ListStackResources", "cloudformation:UpdateStack" ], "Resource": [ "arn:aws:cloudformation:*:111122223333:stack/*" ] }, { "Sid": "S3", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::*/*" ] }, { "Sid": "ECRRepository", "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:CompleteLayerUpload", "ecr:CreateRepository", "ecr:DeleteRepository", "ecr:DescribeImages", "ecr:DescribeRepositories", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:ListImages", "ecr:PutImage", "ecr:SetRepositoryPolicy", "ecr:UploadLayerPart" ], "Resource": [ "arn:aws:ecr:*:111122223333:repository/*" ] }, { "Sid": "ECRAuthToken", "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken" ], "Resource": [ "*" ] }, { "Sid": "Lambda", "Effect": "Allow", "Action": [ "lambda:AddPermission", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction", "lambda:GetFunctionConfiguration", "lambda:ListTags", "lambda:RemovePermission", "lambda:TagResource", "lambda:UntagResource", "lambda:UpdateFunctionCode", "lambda:UpdateFunctionConfiguration" ], "Resource": [ "arn:aws:lambda:*:111122223333:function:*" ] }, { "Sid": "IAM", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DetachRolePolicy", "iam:GetRole", "iam:TagRole" ], "Resource": [ "arn:aws:iam::111122223333:role/*" ] }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "lambda.amazonaws.com" } } }, { "Sid": "APIGateway", "Effect": "Allow", "Action": [ "apigateway:DELETE", "apigateway:GET", "apigateway:PATCH", "apigateway:POST", "apigateway:PUT" ], "Resource": [ "arn:aws:apigateway:*::*" ] } ] }
注意
本节中的示例策略语句授予您足够的权限来部署、更新和删除示例 Hello World 应用程序。如果您向应用程序添加其他资源类型,则需要更新政策声明以包括以下内容:
-
允许您的应用程序调用服务操作。
-
服务主体,如果服务操作需要的话。
例如,如果您添加 Step Functions 工作流,则可能需要为此处列出的操作添加权限和states.amazonaws.com服务主体。
有关 IAM 策略的更多信息,请参阅 IAM 用户指南中的管理 IAM 策略。