管理访问权限 - Amazon Serverless Application Model
Amazon SAM连接器Amazon SAM策略模板Amazon CloudFormation机制最佳实践
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理访问权限

为了使您的Amazon资源相互交互,必须在您的资源之间配置适当的访问和权限,需要配置Amazon Identity and Access Management (IAM) 用户、角色和策略才能以安全的方式完成交互。要了解更多信息,请参阅《Amazon CloudFormation用户指南》中的Amazon Identity and Access Management “使用控制访问权限”。

Amazon Serverless Application Model(Amazon SAM) 提供了两个选项,可简化无服务器应用程序的访问和权限管理。

  1. Amazon SAM连接器

  2. Amazon SAM策略模板

Amazon SAM连接器

连接器是在两个资源之间配置权限的一种方式。你可以通过描述它们在你的Amazon SAM模板中应该如何相互交互来做到这一点。它们可以使用Connectors资源属性或AWS::Serverless::Connector资源类型进行定义。连接器支持在资源组合之间调配ReadWrite访问数据和事件。Amazon要了解Amazon SAM连接器的更多信息,请参阅使用Amazon SAM连接器管理资源权限

Amazon SAM策略模板

Amazon SAM策略模板是预定义的权限集,您可以将其添加到Amazon SAM模板中,以管理Amazon Lambda函数、Amazon Step Functions状态机及其与之交互的资源之间的访问和权限。要了解Amazon SAM策略模板的更多信息,请参阅Amazon SAM策略模板

Amazon CloudFormation机制

Amazon CloudFormation机制包括配置 IAM 用户、角色和策略以管理您的Amazon资源之间的权限。要了解更多信息,请参阅 使用Amazon CloudFormation机制管理权限

最佳实践

在您的无服务器应用程序中,您可以使用多种方法在资源之间配置权限。因此,您可以为每种情况选择最佳选项,并在整个应用程序中同时使用多个选项。选择最适合您的选择时,有几件事情需要考虑:

  • Amazon SAM连接器和策略模板都降低了促进Amazon资源之间安全交互所需的 IAM 专业知识。在支持时使用连接器和策略模板。

  • Amazon SAM连接器提供了一种简单直观的简写语法来定义Amazon SAM模板中的权限,并且需要最少的 IAM 专业知识。当Amazon SAM连接器和策略模板都支持时,请使用Amazon SAM连接器。

  • Amazon SAM连接器可以在支持的Amazon SAM源和目标资源之间预置ReadWrite访问数据和事件。有关受支持资源的列表,请参阅Amazon SAM连接器参考。如果支持,请使用Amazon SAM连接器。

  • 虽然Amazon SAM策略模板仅限于您的 Lambda 函数、Step Functions 状态机及其与之交互的Amazon资源之间的权限,但策略模板确实支持所有 CRUD 操作。如果支持并且您的场景有Amazon SAM策略模板可用,请使用Amazon SAM策略模板。有关可用策略模板的列表,请参阅Amazon SAM策略模板

  • 对于所有其他场景,或者需要精细度时,请使用Amazon CloudFormation机制。