Permissions - AWS Serverless Application Model
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Permissions

为了控制对 AWS 资源的访问,AWS SAM 使用与 AWS CloudFormation 相同的机制。有关更多信息,请参阅 中的AWS Identity and Access Management使用 控制访问。AWS CloudFormation 用户指南

有三种主要选项可向用户授予管理无服务器应用程序的权限。每个选项为用户提供不同级别的访问控制。

  • 授予管理员权限。

  • 附加必要的 AWS 托管策略。

  • 授予特定的 AWS Identity and Access Management (IAM) 权限。

根据您选择的选项,用户只能管理包含他们有权访问的 AWS 资源的无服务器应用程序。

以下部分更详细地介绍了每个选项。

授予管理员权限

如果您向用户授予管理员权限,他们就可以管理包含 AWS 资源的任意组合的无服务器应用程序。这是最简单的选项,但它还向用户授予了最广泛的权限集,这使他们能够执行影响最大的操作。

有关向用户授予管理员权限的更多信息,请参阅 中的IAM创建您的第一个 管理员用户和组。IAM 用户指南

附加必要的 AWS 托管策略

您可以使用 AWS 托管策略向用户授予一部分权限,而不是授予完全管理员权限。如果使用此选项,请确保一组 AWS 托管策略涵盖了用户管理的无服务器应用程序所需的所有操作和资源。

例如,以下 AWS 托管策略足以部署示例 Hello World 应用程序

  • AWSCloudFormationFullAccess

  • IAMFullAccess

  • AWSLambda _FullAccess

  • AmazonAPIGatewayAdministrator

  • AmazonS3FullAccess

  • AmazonEC2ContainerRegistryFullAccess

有关将策略附加到 IAM 用户的信息,请参阅 中的IAM更改 用户的权限。IAM 用户指南

授予特定的 IAM 权限

对于最精细的访问控制级别,您可以使用IAM策略语句向用户授予特定的 权限。如果您使用此选项,请确保策略语句包含用户管理的无服务器应用程序所需的所有操作和资源。

例如,以下策略语句授予足够的权限来部署示例 Hello World 应用程序

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudFormationTemplate", "Effect": "Allow", "Action": [ "cloudformation:CreateChangeSet" ], "Resource": [ "arn:aws:cloudformation:*:aws:transform/Serverless-2016-10-31" ] }, { "Sid": "CloudFormationStack", "Effect": "Allow", "Action": [ "cloudformation:CreateChangeSet", "cloudformation:DeleteStack", "cloudformation:DescribeChangeSet", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:ExecuteChangeSet", "cloudformation:GetTemplateSummary" ], "Resource": [ "arn:aws:cloudformation:*:111122223333:stack/*/*" ] }, { "Sid": "S3", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::*/*" ] }, { "Sid": "ECRRepository", "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:CompleteLayerUpload", "ecr:DescribeImages", "ecr:DescribeRepositories", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:ListImages", "ecr:PutImage", "ecr:SetRepositoryPolicy", "ecr:UploadLayerPart" ], "Resource": [ "arn:aws:ecr:*:111122223333:repository/*" ] }, { "Sid": "ECRAuthToken", "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken" ], "Resource": [ "*" ] }, { "Sid": "Lambda", "Effect": "Allow", "Action": [ "lambda:AddPermission", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction", "lambda:GetFunctionConfiguration", "lambda:ListTags", "lambda:RemovePermission", "lambda:TagResource", "lambda:UntagResource", "lambda:UpdateFunctionCode", "lambda:UpdateFunctionConfiguration" ], "Resource": [ "arn:aws:lambda:*:111122223333:function:*" ] }, { "Sid": "IAM", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DetachRolePolicy", "iam:GetRole", "iam:PassRole", "iam:TagRole" ], "Resource": [ "arn:aws:iam::111122223333:role/*" ] }, { "Sid": "APIGateway", "Effect": "Allow", "Action": [ "apigateway:DELETE", "apigateway:GET", "apigateway:PATCH", "apigateway:POST", "apigateway:PUT" ], "Resource": [ "arn:aws:apigateway:*::*" ] } ] }

有关 IAM 策略的更多信息,请参阅 中的IAM管理 策略。IAM 用户指南