我的 AWS 账户中有一堆用于日常内部操作的 lambda 函数,这些函数只能由我账户中的特定用户组调用。这些功能不应从外部访问。
我在 AWS Service Catalog 中创建了一个产品组合,将这些 lambda 函数作为单独的产品,并授予对特定组的访问权限,一切正常。
我想知道,这是否被认为是一种好习惯。
问问题
452 次
1 回答
1
是的,如果您通常将该服务用作在您的帐户中使用服务的一种方式,您可以使用服务目录执行此操作。或者,您可能会看到最常见的模式是通过 IAM 用户或您的用户用于登录管理控制台的角色的 IAM 策略来执行此操作。
我不太清楚您所说的“这些功能不应从外部访问”是什么意思。因为默认情况下无法在账户之外访问函数,即不属于您的 AWS 账户的人。仅当有 IAM 角色向委托人授予操作时才能调用函数lambda:invoke。这是某人需要执行的明确操作才能使该策略存在。
所以是的,你正在做的是一个可行的选择,还有另一个,这完全取决于你是否已经投资于服务目录。我想说,如果您只打算为此使用服务目录,IAM 选项可能更容易、更轻量级,但如果您已经在使用 SC,那么请使用您概述的路线。
于 2017-05-12T11:01:19.353 回答