Ich verwende einen AWS S3-Bucket, um Konfigurationsdateien für Java AWS Lambdas zu speichern. Wie konfiguriere ich den Bucket so, dass nur der Zugriff auf eine Lambda-Funktion und sonst nichts möglich ist?AWS S3-Bucket auf nur Lambda-Zugriff beschränken
Sie benötigen s3 Eimer Politik Konto 123456789012 in der Region us-east-1 hinzufügen -
{
"Id": "Policy1498253351771",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1498253327847",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::<bucket_name>/<prefix>",
"Principal": {
"AWS": [
"arn:aws:lambda:us-east-1:123456789012:function:*"
]
}
}
]
}
Oben ist eine allgemeine Richtlinie für alle Lambda-Funktionen.
Wenn Sie eine detailliertere Politik nach Ihrer usecase generieren müssen, können Sie versuchen AWS Policy Generator
Die angezeigte Richtlinie ermöglicht es dem Inhaber, alle Lambda-APIs für alle Lambda-Funktionen im AWS-Konto 123456789012 in us-east-1 aufzurufen. Es hilft keiner Lambda-Funktion, Objekte aus S3 abzurufen, oder verhindert, dass Nicht-Lambda-Funktionen Objekte aus einem S3-Bucket abrufen. – jarmod
@jarmod, Ich habe eine allgemeine gesetzt, so dass es als eine Referenz beim Generieren einer Richtlinie aus dem Link verwendet werden kann, die ich geteilt habe. Ich habe meine Richtlinie gemäß Ihrem Vorschlag aktualisiert. Bitte überprüfen Sie sie. Vielen Dank- – tom
Generell, wenn Sie einen AWS-Service als Haupt in einer IAM-Politik zu adressieren sind versuchen, verwenden Sie würden dann "Service": "lambda.amazonaws.com" (oder "s3.amazonaws.com", "ec2.amazonaws.com" usw.) In diesem Fall ist jedoch nicht der Lambda-Service relevant, denke ich, aber der vermutete IAM-Rolle, unter der Ihre Lambda-Funktion ausgeführt wird, weil es die aufgerufene Lambda-Funktion selbst ist, die die Konfiguration aus Ihrem S3-Bucket (vermutlich) abruft. – jarmod