Чтобы мои разработчики могли использовать Serverless Framework для развертывания новых функций AWS Lambda, они должны иметь возможность создавать роли. Я хотел бы дать им разрешение на создание ролей, которые могут выполнять только ограниченное количество вещей. Например, s3: , Dynamodb: , cloudfront: Update *
Но я не хочу, чтобы они (RoleA) могли создавать роли (RoleB), которые могут делать что угодно с EC2, IAM и т. Д. . Как можно ограничить это разрешение?
У меня тоже была такая же проблема; единственное решение, которое я нашел, - это создать роль, которая будет использоваться с Lambdas до того, как они фактически осуществят развертывание,и предоставить им роль ARN для передачи бессерверному серверу для развертывания Lambda.
Таким образом, они всегда использовали ту же роль (роли), которые я им предоставил, а к ролям я прикрепил настраиваемые политики только с необходимыми разрешениями для лямбда-выражения работают.
Вам нужно только предоставить их пользователям разрешение на перечисление и присоединение ролей, если я правильно помню, вместо разрешения CreateRole.