Мелкозернистые списки ACL в облаке пулюми

Question

Мелкозернистые списки ACL в облаке пулюми

Похоже, что по умолчанию лямбда-функция, созданная Pulumi, имеет AWSLambdaFullAccess разрешения. Этот тип доступа слишком широк, и я хотел бы заменить его на мелкозернистые списки ACL.

Например, если я создаю cloud.Table в моем файле index.js я хотел бы указать, что создаваемая мной конечная точка лямбды (в том же файле) имеет доступ только для чтения к этой конкретной таблице.

Есть ли способ сделать это без кодирования политики IAM самостоятельно?

2

pulumi

Источник

user27198 13 авг '18 в 09:38

1 ответ

Решение

Другие вопросы по тегам pulumi

user5046976 13 авг '18 в 13:59 2018-08-13 13:59 · Accepted Answer · 2018-08-13 13:59

@pulumi/cloud В настоящее время библиотека выполняет все вычисления (лямбды и контейнерные сервисы) с единым унифицированным набором политик IAM в AWS.

Вы можете установить политики для использования, запустив:

pulumi config set cloud-aws:computeIAMRolePolicyARNs "arn:aws:iam::aws:policy/AWSLambdaFullAccess,arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess"

Значения выше являются значениями по умолчанию. См. https://github.com/pulumi/pulumi-cloud/blob/master/aws/config/index.ts#L52-L56.

Планируется поддерживать более детальный контроль над разрешениями и вычислительными разрешениями непосредственно из ресурсов, используемых в @pulumi/cloud - см., например, https://github.com/pulumi/pulumi-cloud/issues/145 и https://github.com/pulumi/pulumi-cloud/issues/168.

Библиотеки нижнего уровня (например, @pulumi/aws а также @pulumi/aws-serverless) обеспечить полный контроль над ролями и / или политиками, применяемыми к Function объекты.