允许开发人员在不授予管理员访问权限的情况下创建 AWS Lambda 或 SAM

Question

似乎不可能允许开发人员在 AWS 中创建 Lambda 并创建或维护 SAM 应用程序，而无需将 AdministratorAccess 策略附加到他们的开发人员角色。 AWS 记录了一个建议的 IAM 设置，其中每个人都只是管理员，或者只有拥有 IAMFullAccess，或者包含“iam:AttachRolePolicy”的更具体的权限集，所有这些都归结为仍然有足够的访问权限来授予只需 1 个 API 调用即可随意授予任何人的管理员访问权限。

除了为每个 SAM 或 Lambda 部署创建一个新的 AWS 账户之外，似乎没有任何安全的方法来管理它，但我真的希望我遗漏了一些明显的东西。也许有人知道标签、权限边界和 IAM 路径的组合可以缓解这种情况？

我参考的文档：https://docs.aws.amazon.com/serverless-application-model/latest/developerguide/sam-permissions.html 打开：

授予用户管理权限的主要选项有三个 无服务器应用程序。每个选项为用户提供不同的 访问控制级别。

1. 授予管理员权限。
2. 附加必要的 AWS 托管策略。
3. 授予特定的 AWS Identity and Access Management (IAM) 权限。

再往下，一个示例应用程序用于指定更具体的权限：

例如，以下 AWS 托管策略足以 部署示例 Hello World 应用程序：

• AWSCloudFormationFullAccess
• IAMFullAccess
• AWSLambda_FullAccess
• AmazonAPIGateway 管理员
• AmazonS3FullAccess
• AmazonEC2ContainerRegistryFullAccess

在文档的末尾，AWS IAM 政策文档描述了一组相当冗长的权限，但包含提到的“iam:AttachRolePolicy”权限，其中包含可能应用的角色的通配符资源。

Answer 1

AWS 有一个适用于开发人员的 PowerUserAccess 托管策略。它使他们能够访问大部分服务，并且无法访问管理活动，包括 IAM、Organization 和 Account 管理。

• 您可以为开发人员创建一个IAM 组（例如Developers）并将托管策略PowerUserAccess 添加到该组。将开发者添加到此组。
• 为了使用SAM 进行部署，开发人员需要一些IAM 权限来创建角色、标记角色。在回滚 CloudFormation 堆栈时，他们可能需要一些删除权限。在允许开发人员为Lambda 函数创建新角色的同时，您需要确保他们不会使用permissions boundary 提升权限。再次将权限边界设置为PowerUserAccess 是一个很好的起点。 （直到你弄清楚什么是正确的权限级别）

创建类似这样的策略

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "ReadRole",
        "Effect": "Allow",
        "Action": [
            "iam:GetRole",
            "iam:GetRolePolicy",
            "iam:ListRoleTags"
        ],
        "Resource": "arn:aws:iam::ReplaceWithYourAWSAccountNumber:role/*FunctionRole*"
    },
    {
        "Sid": "TagRole",
        "Effect": "Allow",
        "Action": [
            "iam:UntagRole",
            "iam:TagRole"
        ],
        "Resource": "arn:aws:iam::ReplaceWithYourAWSAccountNumber:role/*FunctionRole*"
    },
    {
        "Sid": "WriteRole",
        "Effect": "Allow",
        "Action": [
            "iam:DeleteRole",
            "iam:DeleteRolePolicy",
            "iam:AttachRolePolicy",
            "iam:PutRolePolicy",
            "iam:PassRole",
            "iam:DetachRolePolicy"
        ],
        "Resource": "arn:aws:iam::ReplaceWithYourAWSAccountNumber:role/*FunctionRole*"
    },
    {
        "Sid": "CreateRoleWithPermissionsBoundry",
        "Effect": "Allow",
        "Action": [
            "iam:CreateRole"
        ],
        "Resource": "arn:aws:iam::ReplaceWithYourAWSAccountNumber:role/*FunctionRole*",
        "Condition": {
            "StringEquals": {
                "iam:PermissionsBoundary": "arn:aws:iam::aws:policy/PowerUserAccess"
            }
        }
    }
]
}

注意：它假定SAM 模板中的Lambda 函数名称中包含单词Function。 （替换 ARNs 中的 AWS 帐号）。

• 现在您可以将上述策略附加到Developers IAM 组。 （这会将 SAM 部署权限授予所有开发人员）
• 或者您可以为SAM 开发人员创建另一个IAM 组（例如SAM-Developers）并将上述策略附加到SAM-Developers 组。现在将适当的开发人员（需要使用 SAM 进行部署）添加到这个新的 IAM 组 (SAM-Developers)。
• 也在 SAM 模板中定义 Permissions Boundary。

这是SAM 模板中的PermissionsBoundary 示例。

Globals:
  Function:
    Timeout: 15
    PermissionsBoundary: arn:aws:iam::aws:policy/PowerUserAccess

这样，开发人员应该能够使用SAM 进行部署，前提是他们没有任何限制性权限边界。

您可以为开发人员将权限边界设置为AdministratorAccess，或者创建一个新的策略，将PowerUserAccess 的权限与上述定义的“SAM”部署策略相结合。然后将此新策略设置为开发人员的权限边界。

此解决方案仅供参考，您可以在此基础上进行构建。 PowerUserAccess 已设置为Lambda 函数角色的权限边界。 PowerUserAccess 过于宽松，您应该进一步努力，为您的开发人员和 L​​ambda 函数找出正确的权限级别。

旁注：您可以使用this 策略来允许用户管理自己的凭据。