Является ли хорошей практикой использование лямбда-функций aws в качестве продукта каталога услуг?
У меня есть несколько лямбда-функций в моей учетной записи AWS, которые используются для повседневных внутренних операций, которые должны вызываться только определенной группой пользователей в моей учетной записи. Эти функции не должны быть доступны извне.
Я создал портфель в AWS Service Catalog с этими лямбда-функциями в качестве отдельных продуктов и предоставил доступ к определенной группе, и все работает отлично.
Мне было интересно, если это считается хорошей практикой.
1 ответ
Да, вы можете сделать это с помощью Каталога услуг, если вы используете эту услугу в целом как способ использования услуг в своей учетной записи. В качестве альтернативы и, вероятно, наиболее распространенной модели, которую вы увидите, это использование политик IAM для пользователей IAM или ролей, которые ваши пользователи используют для входа в консоль управления.
Я не совсем уверен, что вы подразумеваете под "Эти функции не должны быть доступны извне". поскольку функции по умолчанию недоступны вне учетной записи, т. е. от кого-то, кто не является частью вашей учетной записи AWS. Функция может быть вызвана, только если есть роль IAM, предоставляющая принципалу lambda:invoke действие. Это явное действие, которое кто-то должен сделать, чтобы эта политика существовала.
Так что да, то, что вы делаете, является жизнеспособным вариантом, и есть еще один, все действительно зависит от того, вложены ли вы в Service Catalog или нет. Я бы сказал, что если вы собираетесь использовать ТОЛЬКО каталог услуг, опция IAM может быть проще и легче, но если вы уже используете SC, то следуйте по намеченному вами маршруту.