对于SAM CI/CD凭据,如https://github.com/TractorZoom/sam-cli-action如何用最少的权限创建/指定密钥/机密?即不是我的PowerUser帐户的AWS_ACCESS_KEY_ID&AWS_SECRET_ACCESS_KEY,但仍足以部署和更新应用程序?
当我执行sam deploy时,它说它正在创建IAM角色,但经过检查,它只是一个arn:aws:IAM::aws:policy/servicerole/AWSLambdaBasicExecutionRole,它只允许写入日志AFAICT。
那么,如何创建一个";部署角色";还是我缺少什么?
您可以使用最低权限策略创建IAM角色,并允许用户担任该角色,然后将临时凭据注入CI/CD文件。更多信息点击这里
更好的是,如果你有一个执行管道的实例,你可以将IAM角色附加到它上。我使用Gitlab runner,这是我一直追求的。在这种情况下,您可以跳过定义凭据,因为实例会处理这个问题。
无论哪种情况,IAM角色都是一个预先请求,最好是一个独立的部署。