以下CDK代码
const queue = new sqs.Queue(this, 'my-sqs-queue', {
visibilityTimeout: cdk.Duration.seconds(300)
});
const role = iam.Role.fromRoleArn(this, "myrole", "arn:aws:iam::1234:role/myrole")
const evtHandler = new lambda.Function(this, 'MyLambda', {
code: lambda.Code.fromInline(`
exports.handler = async function(event, context) {
console.log("EVENT: \n" + JSON.stringify(event, null, 2))
return context.logStreamName
}`),
handler: 'index.handler',
runtime: lambda.Runtime.NODEJS_8_10,
role
});
evtHandler.addEventSource(new SqsEventSource(queue, {
batchSize: 10 // default
}));
将设置一个轮询 SQS 的 lambda。惊人的!但是,它也会生成此 CF
myrolePolicy99283C52:
Type: AWS::IAM::Policy
Properties:
PolicyDocument:
Statement:
- Action:
- sqs:ReceiveMessage
- sqs:ChangeMessageVisibility
- sqs:GetQueueUrl
- sqs:DeleteMessage
- sqs:GetQueueAttributes
Effect: Allow
Resource:
Fn::GetAtt:
- sqseventloaderusw2tstF27FC9C7
- Arn
Version: "2012-10-17"
PolicyName: snssqslambdaPolicy16AEE704
Roles:
- myrole
问题是,myrole已经有一个允许这些事情的政策。这也意味着执行此脚本的事物需要具有创建/更新策略/角色的权限:(
我的组织中的安全人员不会对允许这种事情感到非常满意。有没有办法阻止它生成策略并将它们附加到角色?
小智 5
对于稍后遇到此问题的任何人,将选项设置mutable为false为我解决了这个问题。
因此,在 OP 的示例中,角色将更改为:
const role = iam.Role.fromRoleArn(this, "myrole", "arn:aws:iam::1234:role/myrole", {mutable: false})
供参考:https : //github.com/aws/aws-cdk/issues/4422
当我进行开发时,我通常会在工作区的另一个窗口中设置文档。您只需将该属性设置autoCreatePolicy为 false 即可。
根据文档:https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-sqs.Queue.html#autocreatepolicy
| 归档时间: |
|
| 查看次数: |
1399 次 |
| 最近记录: |