文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
返回腾讯云官网
社区首页 >问答首页 >基于APIGateway和Lambda的AWS IAM细粒度访问控制

基于APIGateway和Lambda的AWS IAM细粒度访问控制
EN

Stack Overflow用户
提问于 2017-10-10 06:48:29
回答 2查看 629关注 0票数 0

我是AWS的新手,并且已经继承了一个现有的项目。

该项目采用Vue.js作为前端,数据存储在DynamoDB中。用户身份验证是使用Cognito完成的,并附加了IAM角色。通过不同的角色,通过APIGateway和Lambda从数据库中检索数据。

前端角色

可信实体:cognito-entities ty.amazonaws.com

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
{
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "lambda:InvokeFunction"
        ],
        "Resource": [
            "*"
        ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "execute-api:Invoke"
        ],
        "Resource": [
            "*"
        ]
    }
]
}

后端角色

受信任实体:身份提供者apigateway.amazonaws.com、身份提供者lambda.amazonaws.com

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "Stmt1493183261000",
        "Effect": "Allow",
        "Action": [
            "dynamodb:BatchGetItem",
            "dynamodb:BatchWriteItem",
            "dynamodb:DeleteItem",
            "dynamodb:DescribeStream",
            "dynamodb:DescribeTable",
            "dynamodb:GetItem",
            "dynamodb:GetRecords",
            "dynamodb:GetShardIterator",
            "dynamodb:ListStreams",
            "dynamodb:ListTables",
            "dynamodb:PutItem",
            "dynamodb:Query",
            "dynamodb:Scan",
            "dynamodb:UpdateItem",
            "dynamodb:UpdateTable"
        ],
        "Resource": [
            "arn:aws:dynamodb:us-east-1:*:table/foo",
            "arn:aws:dynamodb:us-east-1:*:table/bar",
            "arn:aws:dynamodb:us-east-1:*:table/bar/index/dayKey-captureTime-index"
        ]
    }
]
}

但是,我需要为用户实施授权,以便我可以将组分配给某些用户,以便他们可以访问特定项目,并限制对dynamoDB中其他项目的访问

我读到过有关IAM细粒度访问控制的文章,但它不会起作用,因为用户通过APIGateway与数据库通信,它可以访问所有数据。

我可以放弃APIGateway和Lambda,让用户直接与DynamoDB对话(这似乎是一个坏主意,因为Lambda会对数据做一些工作,而且这种方法会让我的应用程序与亚马逊网络服务联系得太紧密)。

或者我可以创建具有不同权限的附加API,这似乎不是正确的方法。

有人有什么建议吗?或者知道更好的方法?

amazon-iam
access-control
lambda
amazon-dynamodb
aws-api-gateway
EN

回答 2

Stack Overflow用户

发布于 2017-12-11 23:25:35

API网关支持向下到方法级别的访问控制。很难动态控制对DDB中特定项的访问,但如果您谈论的是特定的静态项,则可以将表/项硬编码到API GW或Lambda层中,并使用API Gateway权限控制对该API方法的访问。

使用API网关访问控制可能会迫使您稍微调整/重新设计API。

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Permission",
      "Action": [
        "execute-api:Invoke"           
      ],
      "Resource": [
        "arn:aws:execute-api:region:account-id:api-id/stage/METHOD_HTTP_VERB/resource-path"
      ]
    }
  ]
}

http://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-control-access-using-iam-policies-to-invoke-api.html

票数 0
EN

Stack Overflow用户

发布于 2022-01-04 04:45:20

我也面临着同样的问题。

前端执行API gateWay端点。然后API端点触发lambda函数与数据库进行交互。因此,实际上,如果我们想要在IAM策略级别上进行限制,我们应该对具有元素的功能执行角色的策略进行限制。但问题是,我找不到任何方法来访问策略级别的函数的传入参数,以便在条件下使用它们。

因此,最好的方法似乎是在函数代码中添加一个条件(业务逻辑层)。

这些文档可能会帮助你..

票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/46660263

复制
相关文章
深入了解IAM和访问控制
面向对象编程
本文为InfoQ中文站特供稿件,首发地址为:http://www.infoq.com/cn/articles/aws-iam-dive-in。 访问控制,换句话说,谁 能在 什么 情况下访问 哪些 资源或者操作,是绝大部分应用程序需要仔细斟酌的问题。作为一个志存高远的云服务提供者,AWS自然也在访问控制上下了很大的力气,一步步完善,才有了今日的 IAM:Identity and Access Management。如果你要想能够游刃有余地使用AWS的各种服务,在安全上的纰漏尽可能地少,那么,首先需要先深入了
tyrchen
2018/03/06
4K0
深入了解IAM和访问控制
AWS攻略——一文看懂AWS IAM设计和使用
编程算法访问管理access网站
一言以蔽之,AWS IAM就是为了管理:谁 (不)可以 对什么 做什么。(转载请指明出于breaksoftware的csdn博客)
方亮
2022/09/30
1.2K0
AWS攻略——一文看懂AWS IAM设计和使用
CloudFox:一款针对云环境渗透测试的自动化安全态势感知工具
https网络安全githubgitDevOps 解决方案
CloudFox是一款针对云环境渗透测试的自动化安全态势感知工具,该工具可以帮助广大研究人员以自动化的形式在自己并不熟悉的云环境中获得环境安全态势感知。该工具是一个开源的命令行工具,旨在帮助渗透测试人员和红队安全专业人员在云基础设施中找到可利用的攻击路径,并以此来提升云端环境的安全性。
FB客服
2022/11/14
2.2K0
CloudFox:一款针对云环境渗透测试的自动化安全态势感知工具
Greenplum基于角色的细粒度权限控制
postgresql云数据库 postgresql大数据解决方案大数据
本文描述问题及解决方法同样适用于 腾讯云 云数据仓库 PostgreSQL(CDWPG)。
岳涛
2021/04/29
1.9K3
Greenplum基于角色的细粒度权限控制
基于亚马逊AWS-如何快速搭建Lambda架构
serverless其他javajavascript
在Amazon Web Services (AWS)中,Lambda是最流行的服务之一。要定义它,Lambda是一个无服务器的计算软件,它自动将您作为函数上传的任何代码上载到它。使用AWS Lambda,开发人员无需编写太多代码、启动服务器、配置服务器或为它们的运行支付费用。Lambda让节省成本和资源完成任务工作成为可能。它还允许用户编写简单的函数,然后将这些函数连接到一个请求或一个事件,在此之后,每当请求/事件发生时,Lambda都会执行该函数。此外,用户只有在代码运行时才会实行收费。
35岁程序员那些事
2020/02/24
1.6K0
AWS Lambda 快速入门
serverlessapihttps网络安全
但以上的几个方法都需要关注服务器的存储和计算资源,以便随时调整以满足更高的性能,并且高并发的请求也是分时段的,配置了更高性能的服务器在访问量变低的时候也是资源浪费。
goodspeed
2020/12/22
2.7K0
AWS Lambda 快速入门
AWS lambda and dynamodb with Java
serverlessjava微服务
使用aws lambda已经一年多了,下面使用java构建一个简单的lambda服务,大家可以自己扩展想要的功能,废话不多说,开始吧。
wblearn
2020/09/16
1K0
用于加密数据细粒度访问控制的属性加密
编程算法
每个密文都由加密器用一组描述性属性标记。 每个私钥都与一个访问结构相关联,该结构指定密钥可以解密哪种类型的密文。
Daffy
2021/09/26
3.1K0
【应用安全】什么是身份和访问管理 (IAM)?
访问管理安全
身份和访问管理 (IAM) 是一个安全框架,可帮助组织识别网络用户并控制其职责和访问权限,以及授予或拒绝权限的场景。IAM 通常指的是授权和身份验证功能,例如:
架构师研究会
2022/09/26
2.2K0
【应用安全】什么是身份和访问管理 (IAM)?
【云原生攻防研究 】针对AWS Lambda的运行时攻击
shellhttpsmac osgithub
笔者在上一篇文章《Serverless安全研究— Serverless安全风险》中介绍了责任划分原则。对于开发者而言, Serverless因其服务端托管云厂商安全能力强的特点,实际上降低了总体的安全风险。
绿盟科技研究通讯
2020/12/14
2.1K0
【云原生攻防研究 】针对AWS Lambda的运行时攻击
避免顶级云访问风险的7个步骤
云计算.net访问管理网站
在云中确保身份和数据的安全对于很多组织来说是一种挑战,但是最低权限的访问方法会有所帮助。
静一
2020/05/19
1.2K0
避免顶级云访问风险的7个步骤
从aws lambda谈serverless
serverlessawslambda服务函数
一、基于aws lambda构建监控告警的思考二、什么是serverless?三、serverless解决了什么问题四、常见serverless应用场景五、为什么serverless淡出视野?六、参考
叔牙
2023/06/21
3710
从aws lambda谈serverless
基于角色的访问控制(RBAC)
php网站
很多时候,需要对一些事物进行控制,如一个房间,为了不让人随便进,通常会装一把锁,如果要想进入,你必须得有一把钥匙,且还得和这个锁匹配才行。 基于此做一个抽象,其实包含三方面内容: 1)一个是被控制的事物,通常就算资源。 2)一个是想访问这些资源的人所必须拥有的东西,通常就算凭证。 3)还有一个就是进行凭证和资源的匹配。 Web应用的资源 网络时代绝大多数都是web应用。web应用的一大特点就是Client和Server。客户端发起一个请求,服务器就给出一个响应。 对客户端的要求只有一个,那就是要知道
腾讯NEXT学位
2020/03/25
8780
美国网络安全 | NIST身份和访问管理(IAM)
tcp/ip网络安全访问管理
笔者一直对身份和访问管理(IAM)念念不忘。IAM的目标是实现“三个恰当”或“三个任意”,IAM是实现访问自由的基础。笔者认为它既是基础,也是未来。而且它与零信任架构(ZTA)的成熟度息息相关。
网络安全观
2021/02/24
3.4K0
NGINX基于用户访问控制
http
vim /etc/nginx/nginx.conf Auth_basic 用来支持http的基本认证(用户和密码的认证) nginx #启动 nginx -s reload #重启加载配置文件 nginx -t #检查配置文件 安装htpasswd命令 #查找命令对对应的安装包 yum provides htpasswd yum -y install httpd-tools 创建一个文件 [root@ok ~]# htpasswd -c /etc/nginx/.htpasswd test N
互联网-小阿宇
2022/11/21
7720
NGINX基于用户访问控制
使用Lambda和API网关在Java中开发RESTful微服务
其他
原题:Developing RESTful APIs in Java using Amazon APIGateway and AWS Lambda
yuanyi928
2018/09/14
1.8K0
使用Lambda和API网关在Java中开发RESTful微服务
SpringSecurity(十三)—-基于注解的访问控制
access
在Spring Security中提供了一些访问控制的注解。这些注解都是默认是都不可用的,需要在启动类中添加@EnableGlobalMethodSecurity注解进行开启。 如果不开启就使用注解会报500
全栈程序员站长
2021/04/07
8190
SpringSecurity(十三)—-基于注解的访问控制
云原生时代,是否还需要 VPC 做应用安全?
网站https安全网络安全私有网络
本文翻译自 2020 年的一篇英文文章 DO I REALLY NEED A VPC?[1]。 由于译者水平有限,本文不免存在遗漏或错误之处。如有疑问,请查阅原文。 以下是译文。 从安全的角度来说,V
米开朗基杨
2021/11/17
9290
云原生时代,是否还需要 VPC 做应用安全?
RBAC:基于角色的权限访问控制
面向对象编程
RBAC模型(Role-Based Access Control:基于角色的访问控制)模型是20世纪90年代研究出来的一种新模型,但其实在20世纪70年代的多用户计算时期,这种思想就已经被提出来,直到20世纪90年代中后期,RBAC才在研究团体中得到一些重视,并先后提出了许多类型的RBAC模型。其中以美国George Mason大学信息安全技术实验室(LIST)提出的RBAC96模型最具有代表,并得到了普遍的公认。
看、未来
2022/05/11
1.8K0
RBAC:基于角色的权限访问控制
RBAC-基于角色的访问控制
djangopython
RBAC 是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。
HammerZe
2022/05/09
2.2K0
RBAC-基于角色的访问控制

相似问题

带有IAM策略的AWS Lambda基于属性的访问控制问题

113

如何从lambda调用IAM授权的AWS ApiGateway端点?

33

基于AWS DynamoDB的细粒度访问控制

12

AWS ApiGateway Lambda代理访问授权器

38

Lambda承担具有细粒度权限的AWS IAM角色

18
添加站长 进交流群

领取专属 10元无门槛券

AI混元助手 在线答疑

扫码加入开发者社群
关注 腾讯云开发者公众号

洞察 腾讯核心技术

剖析业界实践案例

扫码关注腾讯云开发者公众号
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
查看详情【社区公告】 技术创作特训营有奖征文