确定 AWS CDK 所需的权限

Question

我正在使用 AWS CDK，每次创建新资源（CodePipeline、VPC 等）时，我都会进入同一个循环......

• 尝试部署
• “您无权 foo:CreateBar”
• 更新 IAM 权限
• 尝试部署
• “您无权使用 baz:CreateZzz”
• 更新 IAM 权限

...一遍又一遍。然后我cdk destroy时也是这样，但是对于“foo:DeleteFoo”

是否有更有效的方法来确定策略执行特定 CDK 操作所需的权限？也许在我可以参考的文档中的某个地方？

谢谢

Answer 1

这是一个脚本，它将执行您传递给它的任何内容，但还将捕获您传递给它的内容与完成执行之间的时间戳，并将打印配置的默认 aws 用户使用 cloudtrail 捕获的所有 AWS API 事件。操作可能需要大约 20 分钟才能显示在 cloudtrail 中，但脚本会每分钟检查一次，直到获得该时间范围内的结果。如果在该时间范围内没有进行任何 AWS api 调用，则不会返回任何结果。这是一个简单的脚本，没有最大超时或任何东西。

#!/bin/bash -x

user_name=`aws sts get-caller-identity | jq -r '.Arn' | sed -e 's/user\// /g' | awk '{print $2}'`
sleep 5 # Sleep to avoid getting the sts call in our time range

start_time=`date`
sleep 1 # Sleep to avoid millisecond rounding issues

eval $@

sleep 1 # Sleep to avoid millisecond rounding issues
end_time=`date`

actions=""
while [ -z "$actions" ]; do
sleep 60
echo "Checking for events from $start_time to $end_time..."
actions=`aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=${user_name} --start-time "${start_time}"  --end-time "${end_time}" | jq -r '.Events[].CloudTrailEvent' | jq -s | jq -r '.[] | "\(.eventSource) \(.eventName)"' | sed -e 's/.amazonaws.com /:/g' | sed -e 's/[0-9]//g' | sort | uniq`
done

echo "AWS Actions Used:"
echo "$actions"

我称之为 get-aws-actions.sh，它需要安装 aws cli 和 jq。对于 cdk 我会这样使用它

./get-aws-actions.sh "cdk deploy && cdk destroy"

我将我的管理员级别凭据配置为默认配置文件，因此我知道部署不会因为权限问题而失败，然后我使用此脚本返回的结果将权限长期授予更具体的部署用户/角色术语使用。您可能遇到的问题是您第一次可能只看到一堆 :Create* 或 :Add* 操作，但实际上您需要为您看到的操作添加所有生命周期操作。因此，如果您看到 dynamodb:CreateTable，您需要确保还添加了 UpdateTable 和 DeleteTable。如果您看到 s3:PutBucketPolicy，您还需要 s3:DeleteBucketPolicy。

说实话，任何不处理允许访问数据的 API 调用的服务，我都会做 :*。一个例子可能是 ECS。我不能使用 ECS API 调用来调用 API 对容器执行 CloudFormation 管理服务不需要执行的任何操作。因此，对于该服务，如果我知道我在做容器，我只需将 ecs:* on * 授予我的部署者角色。像 s3、lambda、sqs、sns 这样的服务，可以通过 API 进行数据访问和资源创建访问，我需要更加谨慎地授予权限。我的部署者角色不应该有权从所有存储桶中读取所有数据或执行函数，但它确实需要创建存储桶和函数。