这是 AWS CDK v2 开发者指南。旧版 CDK v1 于 2022 年 6 月 1 日进入维护阶段,并于 2023 年 6 月 1 日终止支持。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
权限边界是一项 AWS Identity and Access Management (IAM) 高级功能,您可以使用它来设置 IAM 实体(例如用户或角色)可以拥有的最大权限。您可以使用权限边界限制 IAM 实体在使用 AWS Cloud Development Kit (AWS CDK)时可以执行的操作。
有关权限边界的更多信息,请参阅《IAM 用户指南》中的 IAM 实体的权限边界。
何时使用权限边界 AWS CDK
当你需要限制组织中的开发者使用执行某些操作时,可以考虑应用权限边界 AWS CDK。例如,如果您的 AWS 环境中有您不希望开发人员修改的特定资源,则可以创建和应用权限边界。
如何使用权限边界 AWS CDK
创建权限边界
首先,使用 AWS 托管策略或客户托管策略来设置 IAM 实体(用户或角色)的边界,从而创建权限边界。该策略限制用户或角色的最大权限。有关创建权限边界的更多信息,请参阅《IAM 用户指南》 中的 IAM 实体的权限边界。
权限边界会设置 IAM 实体可以拥有的最大权限,但不能自行授予权限。您必须搭配使用权限边界和 IAM 策略,以便有效地限制和授予组织适当的权限。您还必须防止 IAM 实体逃脱您设置的边界。有关示例,请参阅《IAM 用户指南》中的使用权限边界将责任委派给其他人。
在引导过程中应用权限边界
创建权限边界后,您可以通过在引导期间应用权限边界 AWS CDK 来强制执行该边界。
使用 --custom-permissions-boundary 选项,指定要应用的权限边界的名称。以下是应用名为 cdk-permissions-boundary 的权限边界的示例:
$cdk bootstrap --custom-permissions-boundarycdk-permissions-boundary
CDK 默认使用引导模板中定义的 CloudFormationExecutionRole IAM 角色获得执行部署的权限。通过在引导过程中应用自定义权限边界,权限边界将附加到该角色。然后,权限边界将设置组织中的开发人员在使用时 AWS CDK可以执行的最大权限。要了解有关该角色的更多信息,请参阅 在引导期间创建的 IAM 角色。
当您以这种方式应用权限边界时,它们将应用于您引导的特定环境。要在多个环境中使用相同的权限边界,必须在引导过程中为每个环境应用权限边界。您也可以为不同的环境应用不同的权限边界。
了解更多
有关权限边界的更多信息,请参阅《AWS Security Blog》中的 When and where to use IAM permissions boundaries
