前端之家

  1. 首页
  2. 问答

限制启用VPC的Lambda的ENI权限

问答

我有一个角色策略,由AWS Lambda使用,其中包含execution permissions which allow the Lambda to be VPC-enabled。换句话说,它具有以下权限:

    "Sid": "VPCEnabledLambda","action": [
      "ec2:CreateNetworkinterface","ec2:DescribeNetworkinterfaces","ec2:DeleteNetworkinterface"
    ],"Effect": "Allow","Resource": "*"

以上工作。但是,除了启用VPC的lambda隐式需要ENI之外,我还想“收紧”这些权限,以使Lambda永远不会明确创建或删除任意ENI。我可以添加哪种Condition来实现这一目标?

我怀疑我的要求是不可能的,但我想确定。

我要提出的一个想法是,以针对所涉及的ENI的“描述”为条件。 Lambda隐式创建/删除的所有ENI的描述都应以“ AWS Lambda VPC ENI”开头。但是,这仅在删除ENI时作为条件才有用。我不确定。如果有可能加强这一点,我不确定还需要探索其他哪些条件键。也许ec2:Subnet可以帮助将Lambda隐式ENI所使用的子网的权限限制为?

我有什么选择?

heculestong 回答:限制启用VPC的Lambda的ENI权限
暂时没有好的解决方案,如果你有好的解决方案,请发邮件至:iooj@foxmail.com
amazon-iamamazon-web-servicesaws-lambda
本文链接:https://www.f2er.com/3113728.html

大家都在问