Политика AWS Lambda - Разрешить редактировать лямбда-функции в зависимости от пользователя
При создании политик AWS есть ли способ создать политику, которая позволяет просматривать, редактировать и создавать лямбда-функции в зависимости от пользователя, создавшего эту функцию раньше?
Я пытаюсь это сделать, но не могу найти информацию об условии или параметре «Пользователь, который создал / обновил / удалил функцию»
Краткий ответ: нет, в настоящее время это невозможно, но стратегия с несколькими учетными записями может предоставить другой способ решения этой проблемы.
Почему это невозможно?
Чтобы это работало, вам понадобится Lambda для предоставления контекстного ключа IAM, который содержит информацию о том, какой пользователь создал лямбда. В настоящий момент Lambda не предоставляет никаких контекстных ключей.
Из Действия, ресурсы и ключи условий для AWS Lambda :
Lambda не имеет контекстных ключей для конкретной службы, которые можно использовать в условии элемент заявлений о политике. Список ключей глобального контекста, доступных для всех служб, см. В разделе «Доступные ключи для условий» в Справочнике по политике IAM.
Стратегия с несколькими учетными записями
Желание контролировать разрешения для лямбда-выражения на основе того, кто его создал, звучит например, проблема, при которой вам необходимо обеспечить административную изоляцию между пользователями или группами.
Например, если пользователь A (или человек из группы A) создает функцию, то они должны иметь возможность управлять ею на протяжении всего ее жизненного цикла, но другие пользователи (или люди из других команд) не должны иметь возможности вмешиваться в это.
Если вы сталкиваетесь с такой проблемой, то, вероятно, вам будет неплохо иметь несколько учетных записей AWS.
AWS Organizations
Organizations обеспечивает управление на основе политик для нескольких учетных записей. Типичный сценарий:
- Учетная запись для оплаты счетов
- Учетная запись удостоверения (содержит все учетные записи пользователей)
- Учетные записи ресурсов (содержат ресурсы AWS и роли между учетными записями, чтобы разрешить пользователям использовать удостоверение. учетной записи, чтобы иметь соответствующий уровень доступа к ресурсам)
Вы должны создать учетные записи ресурсов, чтобы обеспечить административную изоляцию, чтобы пользователь A имел свою собственную учетную запись и мог делать все, что вы ему позволяете, не беспокоясь о том, чтобы помешать пользователь B. В равной степени командам может быть предоставлен доступ к учетной записи.
Это также дает преимущество, предоставляя разбивку счетов для каждой учетной записи и ограничивая радиус действия любого инцидента безопасности для учетной записи, в которой он произошел.