我有一个角色策略,由AWS Lambda使用,其中包含execution permissions which allow the Lambda to be VPC-enabled。换句话说,它具有以下权限:
"Sid": "VPCEnabledLambda","action": [
"ec2:CreateNetworkinterface","ec2:DescribeNetworkinterfaces","ec2:DeleteNetworkinterface"
],"Effect": "Allow","Resource": "*"
以上工作。但是,除了启用VPC的lambda隐式需要ENI之外,我还想“收紧”这些权限,以使Lambda永远不会明确创建或删除任意ENI。我可以添加哪种Condition
来实现这一目标?
我怀疑我的要求是不可能的,但我想确定。
我要提出的一个想法是,以针对所涉及的ENI的“描述”为条件。 Lambda隐式创建/删除的所有ENI的描述都应以“ AWS Lambda VPC ENI”开头。但是,这仅在删除ENI时作为条件才有用。我不确定。如果有可能加强这一点,我不确定还需要探索其他哪些条件键。也许ec2:Subnet
可以帮助将Lambda隐式ENI所使用的子网的权限限制为?
我有什么选择?