IAM为开发人员提供控制,以限制哪些用户可以访问特定服务、可以执行的操作类型以及可用的资源(虚拟机、数据库实例等(。
给定资源、API调用和使用的服务的列表,如何为该项目创建最小(但足够免费(的IAM角色或用户?
受Exelian对Jiew Meng在《有没有办法确定我实际需要什么IAM权限来创建CloudFormation模板?》中的回复的启发:
孟:"我想,应该有可能有一些解析器,给定CloudFormation模板,就可以确定它所拥有的最小权限集;
Exelian:";我在一次会议上与多位AWS工程师讨论了这一点,他们的回答是:";不是真的";。最好的方法是什么都不分配,看看它会抛出什么错误">
"不是真的"仍然适用。你必须手工制定你的角色和政策,并对其进行测试。但是,有一些工具可以帮助:
- AWS策略生成器和AWS身份和访问管理模板片段,让您开始使用
- 完成AWS IAM参考以检查详细信息
- 然后是同行评审和测试