对于小型CloudFormation和CodePipeline模板,我们可以“尝试 - 测试”以针对所需角色获取最小特权IAM策略。针对云计算的最小特权AWS IAM策略
这通常包括:
- 以最小的政策
- 创建堆栈
- 它失败开始 - 堆栈不具有权限someService:someAction
- 服务行动加入政策
- 更新堆栈并重试
对于较大的CloudFormation模板,此方法太耗时。
您是如何开发最低特权IAM政策?
思路:
允许“*”,然后刮cloudtrail事件和上市事件构建地图为等效的角色 - 那么角色降至只有那些在cloudtrail日志中列出。
如果你可以隔离到一个用户名行动这有助于
访问顾问