【发布时间】:2019-10-08 18:32:49
【问题描述】:
以下CDK代码
const queue = new sqs.Queue(this, 'my-sqs-queue', {
visibilityTimeout: cdk.Duration.seconds(300)
});
const role = iam.Role.fromRoleArn(this, "myrole", "arn:aws:iam::1234:role/myrole")
const evtHandler = new lambda.Function(this, 'MyLambda', {
code: lambda.Code.fromInline(`
exports.handler = async function(event, context) {
console.log("EVENT: \n" + JSON.stringify(event, null, 2))
return context.logStreamName
}`),
handler: 'index.handler',
runtime: lambda.Runtime.NODEJS_8_10,
role
});
evtHandler.addEventSource(new SqsEventSource(queue, {
batchSize: 10 // default
}));
将设置一个轮询 SQS 的 lambda。惊人的!但是,它也会生成这个 CF
myrolePolicy99283C52:
Type: AWS::IAM::Policy
Properties:
PolicyDocument:
Statement:
- Action:
- sqs:ReceiveMessage
- sqs:ChangeMessageVisibility
- sqs:GetQueueUrl
- sqs:DeleteMessage
- sqs:GetQueueAttributes
Effect: Allow
Resource:
Fn::GetAtt:
- sqseventloaderusw2tstF27FC9C7
- Arn
Version: "2012-10-17"
PolicyName: snssqslambdaPolicy16AEE704
Roles:
- myrole
问题是,myrole 已经有了允许这些事情的政策。这也意味着执行这个脚本的东西需要有创建/更新策略/角色的权限:(
我的组织中的安全人员不会对允许这种事情感到非常满意。有没有办法阻止它生成策略并将它们附加到角色?
【问题讨论】:
-
我很感激这是几年前的事了,但是你是如何解决这个问题的,因为我在 SNS 和 SQS 添加默认策略时遇到了同样的问题
-
我可以使用
autoCreatePolicy
标签: aws-cdk