选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户
使用 CodePipeline A IAM ccess Analyzer 和AWS CloudFormation 宏自动验证和部署AWS账户中的IAM策略和角色 - AWS Prescriptive Guidance
摘要先决条件和限制架构工具操作说明相关资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 CodePipeline A IAM ccess Analyzer 和AWS CloudFormation 宏自动验证和部署AWS账户中的IAM策略和角色

PDF

由 Helton Ribeiro (AWS) 和 Guilherme Simoes () 创作 AWS

摘要

注意:AWS CodeCommit 不再向新客户开放。AWS CodeCommit 的现有客户可以继续正常使用该服务。了解更多

此模式描述了创建部署管道的步骤并提供了代码,该管道允许您的开发团队在您的 Amazon Web Services (IAM) 账户中创建 Ident AWS ity and Access Management (AWS) 策略和角色。此方法可帮助您的组织减少运营团队开销并加快部署进程。它还可以帮助您的开发人员创建与您的现有治理和安全控制兼容的IAM角色和策略。

此模式的方法使用 Ident AWSity and Access Management Access Analyzer 来验证要附加AWS CloudFormation 到IAM角色并用于部署IAM角色的IAM策略。但是,您的开发团队不会直接编辑AWS CloudFormation 模板文件,而是创建JSON格式化的IAM策略和角色。在开始部署之前,AWS CloudFormation 宏会将这些JSON格式的策略文件转换为AWS CloudFormation IAM资源类型。

部署管道 (RolesPipeline) 分为源、验证和部署阶段。在源代码阶段,您的开发团队会将包含IAM角色和策略定义JSON的文件推送到AWS CodeCommit 存储库。 AWS CodeBuild 然后运行脚本来验证这些文件并将它们复制到亚马逊简单存储服务 (Amazon S3) 存储桶。由于您的开发团队无法直接访问存储在单独的 S3 存储桶中的AWS CloudFormation 模板文件,因此他们必须遵循JSON文件创建和验证流程。

最后,在部署阶段,AWS CodeDeploy 使用AWS CloudFormation 堆栈更新或删除账户中的IAM策略和角色。

重要

此模式的工作流程是概念验证 (POC),我们建议您仅在测试环境中使用它。如果您想在生产环境中使用此模式的方法,请参阅IAM文档IAM中的安全最佳实践,并对您的IAM角色和AWS服务进行必要的更改。

先决条件和限制

先决条件

  • 一个活动的 AWS 账户。

  • 用于 RolesPipeline 管道的新或现有 S3 存储桶。确保正在使用的访问凭证有权将对象上传至此存储桶。

  • AWS命令行界面 (AWSCLI),已安装和配置。有关这方面的更多信息,请参阅AWSCLI文档AWSCLI中的安装、更新和卸载。 

  • AWS已安装并配置无服务器应用程序模型 (AWSSAM) CLI。有关这方面的更多信息,请参阅AWSSAM文档AWSSAMCLI中的安装。 

  • Python 3,已安装于本地计算机。有关这方面的更多信息,请参阅 Python 文档

  • Git 客户端,已安装并配置。

  • GitHub IAM roles pipeline存储库,克隆到您的本地计算机。 

  • 现有JSON格式的IAM策略和角色。有关这方面的更多信息,请参阅 Github IAM roles pipeline 存储库中的ReadMe文件。

  • 您的开发团队不得拥有编辑此解决方案的AWS CodePipeline CodeBuild、和 CodeDeploy 资源的权限。

限制

  • 此模式的工作流程是概念验证 (POC),我们建议您仅在测试环境中使用它。如果您想在生产环境中使用此模式的方法,请参阅IAM文档IAM中的安全最佳实践,并对您的IAM角色和AWS服务进行必要的更改。

架构

下图显示了如何使用 A IAM cces AWS CloudFormation s Analyzer 和宏自动验证IAM角色和策略并将其部署到账户。 CodePipeline

验证和部署AWS账户中的IAM策略和角色的步骤。

图表显示了以下工作流:

  1. 开发人员编写包含IAM策略和角色定义的JSON文件。开发人员将代码推送到 CodeCommit 存储库 CodePipeline ,然后启动RolesPipeline管道。

  2. CodeBuild 使用IAM访问分析器验证JSON文件。如果存在任何与安全或错误相关的调查发现,则部署进程将停止。

  3. 如果没有发现与安全或错误相关的结果,则会将JSON文件发送到 RolesBucket S3 存储桶。

  4. 然后,作为 AWS Lambda 函数实现的AWS CloudFormation 宏从RolesBucket存储桶中读取JSON文件并将其转换为AWS CloudFormation IAM资源类型。

  5. 预定义AWS CloudFormation 堆栈安装、更新或删除账户中的IAM策略和角色。 

自动化和扩缩

AWS CloudFormation GitHub IAM角色管道存储库中提供了自动部署此模式的模板。

工具

代码

此模式的源代码和模板可在 GitHub IAM角色管道存储库中找到。

操作说明

任务描述所需技能

克隆示例存储库。

将 GitHub IAM角色管道存储库克隆到本地计算机。

应用程序开发者,一般 AWS

克隆存储库

任务描述所需技能

克隆示例存储库。

将 GitHub IAM角色管道存储库克隆到本地计算机。

应用程序开发者,一般 AWS
任务描述所需技能

部署管道。

  1. 导航到包含已克隆存储库的目录。

  2. 重要

    运行make deploy bucket=<bucket_name>命令。:您必须替换<bucket_name>为现有 S3 存储桶的存储桶名称。

  3. 运行 aws codepipeline get-pipeline –name RolesPipeline 命令,以检查您的部署是否成功。

应用程序开发者,一般 AWS

克隆管道存储库。

  1. RolesPipelineAWS CloudFormation 堆栈创建roles-pipeline-repo CodeCommit 存储库。

  2. 登录AWS管理控制台,打开AWS CodeCommit 控制台,然后复制 CodeCommit 存储库URL以将其克隆到本地计算机。有关这方面的更多信息,请参阅AWS CodeCommit 文档中的 Connect 到AWS CodeCommit 存储库

应用程序开发者,一般 AWS

部署 RolesPipeline 管道

任务描述所需技能

部署管道。

  1. 导航到包含已克隆存储库的目录。

  2. 重要

    运行make deploy bucket=<bucket_name>命令。:您必须替换<bucket_name>为现有 S3 存储桶的存储桶名称。

  3. 运行 aws codepipeline get-pipeline –name RolesPipeline 命令,以检查您的部署是否成功。

应用程序开发者,一般 AWS

克隆管道存储库。

  1. RolesPipelineAWS CloudFormation 堆栈创建roles-pipeline-repo CodeCommit 存储库。

  2. 登录AWS管理控制台,打开AWS CodeCommit 控制台,然后复制 CodeCommit 存储库URL以将其克隆到本地计算机。有关这方面的更多信息,请参阅AWS CodeCommit 文档中的 Connect 到AWS CodeCommit 存储库

应用程序开发者,一般 AWS
任务描述所需技能

使用有效的IAM策略和角色测试 RolesPipeline 管道。

  1. 为您的IAM策略和角色创建JSON文件。您可以使用 GitHub IAM roles pipeline存储库中role-example目录中的示例。

  2. 重要

    使用所需的配置定义您的IAM策略和角色。:请确保遵循 GitHub IAM roles pipeline存储库中ReadMe文件中描述的格式。

  3. 将修改内容推送到roles-pipeline-repo CodeCommit 存储库中。

  4. 验证 RolesPipeline 管道的实施。

  5. 确保在账户中正确部署IAM策略和角色。

  6. 验证是否存在与IAM策略或角色关联的权限边界。有关这方面的更多信息,请参阅IAM文档中的IAM实体的权限边界

应用程序开发者,一般 AWS

使用无效的IAM策略和角色测试 RolesPipeline 管道。

  1. 修改roles-pipeline-repo CodeCommit 存储库并添加无效的IAM角色或策略。例如,您可以使用不存在的操作或无效的IAM策略版本。

  2. 验证管道的实现。 IAM如果检测到无效的IAM策略或角色,Access Analyzer 将在验证阶段停止管道。

应用程序开发者,一般 AWS

测试 RolesPipeline 管道

任务描述所需技能

使用有效的IAM策略和角色测试 RolesPipeline 管道。

  1. 为您的IAM策略和角色创建JSON文件。您可以使用 GitHub IAM roles pipeline存储库中role-example目录中的示例。

  2. 重要

    使用所需的配置定义您的IAM策略和角色。:请确保遵循 GitHub IAM roles pipeline存储库中ReadMe文件中描述的格式。

  3. 将修改内容推送到roles-pipeline-repo CodeCommit 存储库中。

  4. 验证 RolesPipeline 管道的实施。

  5. 确保在账户中正确部署IAM策略和角色。

  6. 验证是否存在与IAM策略或角色关联的权限边界。有关这方面的更多信息,请参阅IAM文档中的IAM实体的权限边界

应用程序开发者,一般 AWS

使用无效的IAM策略和角色测试 RolesPipeline 管道。

  1. 修改roles-pipeline-repo CodeCommit 存储库并添加无效的IAM角色或策略。例如,您可以使用不存在的操作或无效的IAM策略版本。

  2. 验证管道的实现。 IAM如果检测到无效的IAM策略或角色,Access Analyzer 将在验证阶段停止管道。

应用程序开发者,一般 AWS
任务描述所需技能

准备清理。

清空 S3 存储桶,然后运行 destroy 命令。

应用程序开发者,一般 AWS

删除 RolesStack 堆栈。

  1. RolesPipeline管道会创建一个用于部署IAM策略和角色的RolesStackAWS CloudFormation 堆栈。您必须先删除堆栈,然后才能删除 RolesPipeline 管道。

  2. 登录AWS管理控制台,打开AWS CloudFormation 控制台,然后选择RolesStack堆栈并选择删除

应用程序开发者,一般 AWS

删除 RolesPipeline 堆栈。

要删除RolesPipelineAWS CloudFormation 堆栈,请按照 Github IAM roles pipeline 存储库中ReadMe文件的说明进行操作。

应用程序开发者,一般 AWS

清除资源

任务描述所需技能

准备清理。

清空 S3 存储桶,然后运行 destroy 命令。

应用程序开发者,一般 AWS

删除 RolesStack 堆栈。

  1. RolesPipeline管道会创建一个用于部署IAM策略和角色的RolesStackAWS CloudFormation 堆栈。您必须先删除堆栈,然后才能删除 RolesPipeline 管道。

  2. 登录AWS管理控制台,打开AWS CloudFormation 控制台,然后选择RolesStack堆栈并选择删除

应用程序开发者,一般 AWS

删除 RolesPipeline 堆栈。

要删除RolesPipelineAWS CloudFormation 堆栈,请按照 Github IAM roles pipeline 存储库中ReadMe文件的说明进行操作。

应用程序开发者,一般 AWS

相关资源

需要帮助吗?

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。