eine IAM-Benutzer Geben Sie vollen Zugang

Sollte eine IAM-Benutzer namens sagen User1 wie so vollen Zugang gegeben werden:eine IAM-Benutzer Geben Sie vollen Zugang

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Action": "*", 
     "Resource": "*" 
    } 
    ] 
}

Könnte es auch verwendet werden Amazon-API-Aufrufe zu schaffen? Ist dies ein Sicherheitsrisiko oder sollte ich einen anderen Benutzer nur für den Zugriff auf das Amazpn API Gateway erstellen?

Quelle

2016-05-30 cdub

Verwenden Sie die Richtlinie für die wenigsten Berechtigungen, und geben Sie keine vollständige Berechtigung für user1. Für API-GW benötigen Sie keine Erlaubnis, wenn Sie möchten. – Guy

Ja, ich werde die Benutzerrechte anpassen. Für API GW benutze AWS Lambda, obwohl ich die 2 Berechtigungen hier benötigte: http://docs.aws.amazon.com/apigateway/latest/developerguide/setting-up.html – cdub

Die Erlaubnis für Lambda sind in der API definiert. GW. Das API-GW selbst kann offen sein oder andere Authentifizierungsoptionen (http://docs.aws.amazon.com/apigateway/latest/developerguide/use-custom-authorizer.html) – Guy

Sie sollten niemals einem IAM-Benutzer volle Rechte geben. So viele Dinge könnten schiefgehen, und ja, es könnte sehr wohl ein Sicherheitsrisiko sein.

Wenn Sie verwalten müssen (erstellen, konfigurieren oder bereitstellen) API in API-Gateway mit diesem IAM-Benutzer können Sie dem Benutzer diese Politik geben:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Action": [ 
     "apigateway:*" 
     ], 
     "Resource": "arn:aws:apigateway:*::/*" 
    } 
    ] 
}

Oder, wenn Sie nur aufrufen müssen die API, können Sie diese Richtlinie verwenden:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Action": [ 
     "execute-api:Invoke" 
     ], 
     "Resource": "arn:aws:execute-api:*:*:*" 
    } 
    ] 
}

Quelle

2016-05-31 07:48:01

eine IAM-Benutzer Geben Sie vollen Zugang

Antwort

Verwandte Themen