用于cloudformation的最低权限AWS IAM策略
对于小型CloudFormation和CodePipeline模板,我们可以“尝试-测试”以获得所需角色的最低权限IAM策略。
这通常包括:
- 从最小策略开始
- 创建堆栈
- 它失败与-堆栈没有权限的一些服务:一些行动
- 将服务操作添加到策略
- 更新堆栈并重试
这种方法对于较大的CloudFormation模板来说太耗时了
您如何制定最低特权IAM策略?
思想:
>
允许"*",然后为事件刮取云迹,并为列出的事件构建映射到它们的等效角色-然后将角色减少到仅在云迹日志中列出的角色。
>
如果您可以将操作隔离到用户名,这会有所帮助
https://html" target="_blank">github.com/byu-oit-appdev/aws-cloudwatch-parse
访问顾问
共有1个答案
授予最小特权是一个有据可查的IAM最佳实践。留档建议增量添加特定权限,使用访问顾问选项卡来确定应用程序实际正在使用哪些服务(可能在测试阶段使用更广泛的权限集):
从一组最小的权限开始并在必要时授予额外的权限,而不是从过于宽松的权限开始,然后再尝试收紧权限,这样更安全。
定义正确的权限集需要进行一些研究,以确定特定任务所需的内容、特定服务支持的操作以及执行这些操作所需的权限。
有一个功能可以帮助实现这一点,即Access Advisor选项卡,每当您检查用户、组、角色或策略时,该选项卡都会出现在IAM控制台摘要页面上。此选项卡包含有关用户、组、角色或任何使用策略的人实际使用哪些服务的信息。您可以使用此信息识别不必要的权限,以便改进IAM策略,更好地遵守最小权限原则。有关更多信息,请参阅服务上次访问的数据。
这种方法类似于为特定IAM角色/应用程序生成的API事件抓取CloudTrail,尽管后者可能更难过滤整个事件流以找到相关事件,而Access Advisor列表已经为您过滤。
-
我在用BigDecimal做一些计算。最近我遇到: 这个问题的答案贴在这里:算术异常:“非终止十进制扩展;没有精确可表示的十进制结果” 这意味着,有一些除法有无限的小数,所以BigDecimal告诉我它不能精确计算结果。为了避免这种情况,我必须调用
-
我正在创建一个文件管理器应用程序,我需要“所有文件”访问权限,并且根据Play商店的要求,其目标SDK必须为30及以上。拥有MANAGE_EXTERNAL_STORAGE权限是否足以让我在所有Android版本上使用,即适用于Android 10及以下设备,还是仅适用于Android 11?如果没有,我如何获得Android 10及以下设备的此类访问权限,因为存储访问框架不足以满足我的目的。
-
问题内容: 我通过以下方式创建了具有最低权限的用户: 效果很好。如果要在我的项目中检查权限,请使用 arda arda 检出:http : _//arda-maps.org:2480_ 。 所以我的问题是这些权利仍然允许诸如 更改顶点名称之类的 事情(因此我将LOVES更改为LOVESd)。但是,这扼杀了整个数据库的结构和功能! 那么,如何才能进一步限制权利呢?这真的很糟糕,因为我想让任何人都可以
-
http://${host}:${port}/auth/realms/${realm_name}/authz/protection/resource_set 但是我没有看到一个API来CRUD授权策略和权限。 我试图通过protection/resource_setendpoint创建策略,但失败了:
-
我想出了将创建策略的权限委托给用户的想法。分配给此用户的策略是: 现在,由于用户可以在路径sys/policies/acl/user-*中创建策略,这样的策略可以包含对Vault中任何路径的任何权限,这当然不是我想要实现的。我想将此策略创建权限限制在给定的路径上。这在金库里有可能吗?
-
我最近通过控制台在AWS上创建了一个S3桶,带有默认settigns(显然除了名称)。我尝试编辑桶策略,但得到这个错误:"错误访问拒绝",与我的管理IAM用户和根帐户。 如何获得编辑S3 Bucket策略的权限?