我想开始使用无服务器框架来管理我公司的 lambda 部署,但我们处理 PHI,因此安全性很高。我们的合规总监和首席技术官担心将我们的 AWS 密钥和秘密传递给另一家公司。
在执行serverless deploy时,AWS 凭证是否实际传递到无服务器公司?
如果没有,有人可以指出我可以在代码中证明这一点吗?
谢谢!
运行无服务器部署不仅仅是一个调用,而是很多调用。 AWS 示例(过度简化(:
- 检查部署 s3 存储桶是否已存在
- 创建 S3 存储桶
- 将程序包上传到 s3 存储桶
- 呼叫云形成
- 检查云形成堆栈状态 获取已创建
- 资源的信息(例如,已创建 API 的终结点 URL(
这些电话可能会根据您正在做的事情和您以前做过的事情而改变。
我想说的是,这些包含凭据的调用并不都位于一个地方,如果您想对无服务器框架及其所有依赖项进行完整的代码审查,请玩得开心。
但是在引擎盖下,我们知道它实际上是在使用JavaScript aws-sdk(去看看package.json(,我们知道哪些端点使用{service}。{区域}.amazonaws.com.
因此,为了向您的雇主证明,除了 AWS 之外,您的凭证不会去任何地方,您只需在运行 wireshark 的情况下运行无服务器部署(其他网络数据包分析器可用(。这样你就可以看到任何不会 amazonaws.com 的东西
但是等等,为什么在我运行部署时调用 serverless.com 和 serverlessteam.com?
好吧,这只是跟踪一些统计数据,您可以在此处查看他们跟踪的内容。但是如果你是超级偏执狂,这可以通过serverless slstats --disable关闭。