如何使用CDK将托管策略附加到IAM角色

CDK (Cloud Development Kit) 是一种软件开发框架，它可以帮助开发人员以编程的方式定义基础设施资源，并自动部署和管理这些资源。在云计算中，CDK 可以被用来创建和管理云资源，包括 IAM（Identity and Access Management）角色。

IAM 角色是一种 AWS 身份验证机制，它为 AWS 资源提供了安全的访问权限。托管策略是一组权限策略，用于定义访问角色所需的权限。

要将托管策略附加到 IAM 角色，可以使用 CDK 提供的 AWS Identity and Access Management (IAM) 模块。以下是一个使用 CDK 将托管策略附加到 IAM 角色的示例代码：

导入所需的 CDK 模块和 IAM 模块：

from aws_cdk import (
    aws_iam as iam,
    core
)

创建 CDK Stack 类：

class MyStack(core.Stack):
    def __init__(self, scope: core.Construct, id: str, **kwargs) -> None:
        super().__init__(scope, id, **kwargs)

在 Stack 类中创建 IAM 角色并附加托管策略：

role = iam.Role(
    self, "MyRole",
    assumed_by=iam.ServicePrincipal("lambda.amazonaws.com")
)

managed_policy = iam.ManagedPolicy.from_aws_managed_policy_name(
    "AmazonS3ReadOnlyAccess"
)

role.add_managed_policy(managed_policy)

在上述示例代码中，我们创建了一个名为 "MyRole" 的 IAM 角色，并指定了该角色的托管策略为 "AmazonS3ReadOnlyAccess"。这将为角色授予对 Amazon S3 的只读访问权限。

值得注意的是，CDK 还提供了许多其他的 IAM 类和方法，可以用于创建和管理 IAM 角色及其策略。开发人员可以根据具体需求进行配置和定制。

推荐的腾讯云相关产品：腾讯云也提供了类似的服务和产品，用于创建和管理云资源。您可以使用腾讯云的 CAM（访问管理）服务来管理身份和权限，将托管策略附加到角色。更多关于腾讯云 CAM 的信息，请参考以下链接：

请注意，以上提供的链接仅作为参考，具体产品和服务选择应根据实际需求和项目要求来决定。

相关·内容

避免顶级云访问风险的7个步骤

为了说明这个过程如何在云平台中工作，以主流的AWS云平台为例，并且提供可用的细粒度身份和访问管理(IAM)系统之一。...与AWS托管策略相比，客户托管策略通常提供更精确的控制。 •内联策略，由AWS客户创建并嵌入在身份和访问管理(IAM)标识(用户、组或角色)中。当最初创建或稍后添加身份时，可以将它们嵌入标识中。...就像用户本身一样，组可以附加到托管策略和内联策略。步骤3：映射身份和访问管理(IAM)角色现在，所有附加到用户的身份和访问管理(IAM)角色都需要映射。...角色是另一种类型的标识，可以使用授予特定权限的关联策略在组织的AWS帐户中创建。它类似于身份和访问管理(IAM)用户，但其角色可以分配给需要其权限的任何人，而不是与某个人唯一关联。...角色通常用于授予应用程序访问权限。步骤4：调查基于资源的策略接下来，这一步骤的重点从用户策略转移到附加到资源(例如AWS存储桶)的策略。

1.2K1 0

基础设施即代码的历史与未来

我们不定义这些东西将在哪些主机上执行，以及如何配置这些主机——我们只关心正确使用云供应商提供的托管服务。然而，它与 Ansible 共同的地方是它们都具有声明式的特性。...例如，在函数执行上下文中成功触发给定队列的情况下，需要授予 IAM 角色一组非常特定的权限（sqs:ReceiveMessage、sqs:DeleteMessage、sqs:GetQueueAttributes...还要注意的是，我们在代码中没有提及 IAM —— CDK 会为我们处理所有这些细节，因此我们不需要知道允许函数被队列触发所需的确切 4 个权限是什么。...我甚至可以将它添加到 constructs.dev 的可用开源 CDK 库目录中，以便更容易找到。...由于双方都使用托管服务的语言进行交流，我在应用程序代码中想要使用的任何资源都需要在基础设施代码中存在，就像我们在 Lambda 和 SQS 示例中看到的那样。因此，这些工具将两者统一起来。

1561 0

蜂窝架构：一种云端高可用性架构

关于如何组织单元以及将哪些流量路由到哪个单元，有许多不同的策略。...使用专有的 AWS 帐户部署单元可以确保默认与其他单元隔离，但你必须为一个单元与另一个单元的交互设置复杂的跨帐户 IAM 策略。...反过来，如果你使用一个 AWS 帐户部署多个单元，就必须设置复杂的 IAM 策略来防止单元之间的交互。...IAM 策略管理是使用 AWS 最具挑战性的部分之一，所以任何时候你都可以选择避免这么做，为你节省时间和减少痛点。...我们可以将这些阶段放到数组中，然后循环遍历它，将阶段添加到每个管道中：图 12：将阶段添加到 CodePipeline 的 CDK 代码我们创建了一个特殊的管道，叫作“管道的管道”。

1551 0

怎么在云中实现最小权限?

在AWS云平台中，其角色作为机器身份。需要授予特定于应用程序的权限，并将访问策略附加到相关角色。这些可以是由云计算服务提供商(CSP)创建的托管策略，也可以是由AWS云平台客户创建的内联策略。...(1)单个应用程序–单一角色：应用程序使用具有不同托管和内联策略的角色，授予访问Amazon ElastiCache、RDS、DynamoDB和S3服务的特权。如何知道实际使用了哪些权限?...一旦完成，如何正确确定角色的大小?是否用内联策略替换托管策略?是否编辑现有的内联策略?是否制定自己的新政策? (2)两个应用程序–单一角色：两个不同的应用程序共享同一角色。...以及如何在不中断其他可能同时使用第二个更高权限角色的应用程序的情况下限制应用程序的权限? 一种称为Access Advisor的AWS工具允许管理员调查给定角色访问的服务列表，并验证其使用方式。...云中的最小权限最后需要记住，只涉及原生AWS IAM访问控制。将访问权限映射到资源时，还需要考虑几个其他问题，其中包括间接访问或应用程序级别的访问。

1.4K0 0

AWS攻略——一文看懂AWS IAM设计和使用

我们使用“角色”来对其进行管理和定义——它是一个代码审查角色。一个资源被赋予某个角色之后，它就会自动携带这个角色的权限，而不需要携带用于身份校验的秘钥对。...换句话说，我们可以使用一个或者一组策略来描述角色、用户和用户组。于是，定义策略是使用IAM的基础。后续的实操将带大家进行一次IAM配置之旅。 4 实操沿用上面的例子，我们对各个概念进行配置演示。...4.2.1.1 AWS托管的 AWS IAM托管了大量其自己管理FullAccess策略，但是都是针对单个服务的。比如上图中圈中的部分。...4.3.2 附加策略在之前步骤中，我们创建了针对前端代码仓库进行管理的策略WebDenyCodecommitDeleteRespBranch。这一步我们就将该策略附加到用户上。...4.5.3 附加角色在创建EC2实例时，我们在“IAM instance profile”中选择上述创建的角色。

9871 0

超越IaC：解决云计算关注点分离问题

让我们探讨这些问题，并使用一个实际示例来突出显示使用托管服务和 IaC 的挑战。...您是否将项目限制在受限的脚手架或模板中（例如通过开发者门户），以确保团队使用符合您组织策略的基础设施？...您使用的 Terraform、CloudFormation 或任何其他 IaC 工具都将具有明确定义 SNS 主题、策略/角色和环境变量的脚本，用于向主题发送消息的服务以及响应发送到主题的事件的任何订阅者...这可能是环境变量中的拼写错误，也可能是阻止订阅触发订阅者的不正确的 IAM 策略。这些问题非常常见，尤其令人沮丧。如果它们深入到您的应用程序中，它们可能只有在您的用户开始遇到问题时才会显现出来。...我们还将演示如何使用 Nitric 和来自代码的基础设施来实现同一个项目，突出显示复杂性的降低和关注点分离的改进，而不会限制可配置性或对底层服务的访问。

721 0

Python 和 CDK的aws-route53那些事

CDK介绍 1.什么是CDK？ CDK,与使用 YAML（或 JSON）的声明式方法相比，CDK 允许您命令式声明基础设施。主要语言为 TypeScript，同时也支持另外几种语言。...如果选择使用 Route 53 来执行所有这三种功能： 1）域名注册 2）将 Internet 流量路由到您的域的资源 3）检查资源的运行状况如何使用route53 1.安装route53 ## 方法一...://mirrors.aliyun.com/pypi/simple/ ## 方法三：使用pycharm直接安装 2.添加托管区域添加公共托管区域 ## 导入aws_route53别名为route53...import aws_cdk.aws_route53 as route53 ## 使用route53的PublicHostedZone方法来添加公共托管区域 route53.PublicHostedZone...4.将记录添加到现有托管区域如果知道托管区域的ID和名称，可以直接导入 zone = HostedZone.from_hosted_zone_attributes(self, "MyZone",

9343 0

AWS简单搭建使用EKS二

背景：紧接AWS简单搭建使用EKS一，eks集群简单搭建完成。...使用 AWS CLI 创建 Amazon EBS CSI 插件 IAM 角色参照：https://docs.aws.amazon.com/zh_cn/eks/latest/userguide/csi-iam-role.html...查看集群的 OIDC 提供商 URL查看集群的 OIDC 提供商 URL，将 my-cluster 替换为您的集群名称。...创建角色aws iam create-role \ --role-name AmazonEKS_EBS_CSI_DriverRole \ --assume-role-policy-document...file://"aws-ebs-csi-driver-trust-policy.json"图片AWS 托管策略附加到角色注意arn:aws 地域区分 arn:aws-cnaws iam attach-role-policy

1.5K3 1

浅谈云上攻防系列——云IAM原理&风险以及最佳实践

研究人员成功地使用错误配置的IAM功能在云中横向移动，并最终获得凭据以及重要数据。接下来，我们将介绍云IAM技术体系框架以及工作原理，并从历史案例中刨析云IAM的风险，并寻找最佳解决方案。...在此期间，如果有一个权限策略包含拒绝的操作，则直接拒绝整个请求并停止评估。 Step 4：当请求通过身份验证以及授权校验后，IAM服务将允许进行请求中的操作（Action）。...应使用IAM功能，创建子账号或角色，并授权相应的管理权限。使用角色委派权：使用IAM创建单独的角色用于特定的工作任务，并为角色配置对应的权限策略。...遵循最小权限原则：在使用 IAM为用户或角色创建策略时，应遵循授予”最小权限”安全原则，仅授予执行任务所需的权限。...写在最后云IAM服务作为云平台中进行身份验证与访问管理的一个重要功能，通过了解云IAM服务的工作原理、功能特征以及如何正确使用IAM进行配置，对保障云上安全尤为重要。

2.7K4 1

基于AWS EKS的K8S实践 - 集群搭建

将所需的 IAM policy 附加到角色 aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/AmazonEKSClusterPolicy...创建一个自定义策略，该策略主要用来定义我们可以访问的EKS资源，这里假设策略名称test-env-eks-manager-server-policy { "Version": "2012-10-17...将该策略添加到role上 aws iam attach-role-policy \ --policy-arn arn:aws:iam::xxxx:policy/test-env-eks-manager-server-policy...创建数据平面（工作节点）数据平面的创建我们采用节点组的形式进行创建，不使用Fargate。...将IAM Policy附加到Role上 aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly

4934 0

AWS CDK | IaC 何必只用 Yaml

如何破解 YAML 地狱？...原理 AWS CDK 将 Imperative 和 Declarative 进行了结合，通过编程语言生成 CloudFormation 的 template，之后再由 CloudFormation 生成对应的...diff cdk diff 是最常用的一个命令了，会帮助用户检查当前 Stack 和云上资源的不同，并作出标记： $ cdk diff Stack HelloCdkStack IAM Statement...: Modules: aws-cdk=1.XX.X,@aws-cdk/aws-events=1.XX.X,@aws-cdk/aws-iam=1.XX.X,@aws-cdk/aws-kms=1...，使用 AWS CDK 获得的红利也会越多。

2K2 0

网络安全架构 | IAM（身份访问与管理）架构的现代化

即使只有一名员工更改角色，IAM团队也将花费大量不必要的时间来解除和重新分配权限。 2）基于资源的访问更好的方法是将用户直接连接到数据。基于资源的访问允许您将用户连接到他们有权访问的数据。...这就是为什么我们已经开发了一个“现代化的IAM架构”模式（或观点），来解决授权策略和PBAC如何重新设计IAM的这个问题。...下面是一些可以作为IAM如何现代化的介绍的摘录。在这些摘录之后，我们将讨论如何通过应用PBAC来实现IAM现代化。...三、现代化的IAM架构下面，我们概述了当前的现状架构可以如何被现代化。我们只关注如何使用PBAC和授权模型来增加愿景的灵活性和动态性。其他的方面和技术也可以应用于改进和现代化IAM架构。...PBAC方法简化了授权，因此可以使用图数据库决策引擎，将数千个角色、属性甚至环境因素，转换为少量的逻辑智能授权策略。

6.3K3 0

浅谈云上攻防——Web应用托管服务中的元数据安全隐患

Web应用托管服务中的元数据安全隐患在Web应用托管服务中的元数据安全隐患章节中，我们将以AWS 下的Elastic Beanstalk服务进行举例，以此介绍一下攻击者如何攻击Web应用托管服务并利用元数据服务获取信息发起后续攻击...角色提供了三种权限策略：用于 Web 服务器层的权限策略；用于工作程序层的权限策略；拥有多容器 Docker 环境所需的附加权限策略，在使用控制台或 EB CLI 创建环境时，Elastic Beanstalk...但是，一旦云厂商所提供的Web应用托管服务中自动生成并绑定在实例上的角色权限过高，当用户使用的云托管服务中存在漏洞致使云托管服务自动生成的角色凭据泄露后，危害将从云托管业务直接扩散到用户的其他业务，攻击者将会利用获取的高权限临时凭据进行横向移动...由于攻击者使用Web应用托管服务生成的合法的角色身份，攻击行为难以被发觉，对用户安全造成极大的危害。...此外，可以通过限制Web应用托管服务中绑定到实例上的角色的权限策略进行进一步的安全加强。在授予角色权限策略时，遵循最小权限原则。最小权限原则是一项标准的安全原则。

3.8K2 0

AWS 容器服务的安全实践

而对于EKS则需要同时了解和配置IAM和Kubernetes RBAC，就是基于角色的访问控制。IAM负责将权限分配到AWS服务，而RBAC负责控制资源的权限。...另外，通过 Amazon EKS 集群上服务账户 (service account)的 IAM 角色，您可以将 IAM 角色与 Kubernetes 服务账户关联。...然后，此服务账户就能够为使用它的任何一个 Pod 中的容器提供 AWS 权限。您可以将 IAM 权限范围限定到服务账户，并且只有使用该服务账户的 Pod 可以访问这些权限。其次，我们看一下平台安全。...对于Kubernetes来讲，网络策略是一种关于 Pod 间及Pod与其他网络间所允许的通信规则的规范。如果在EKS上进行网络策略管理，首先需要将网络策略提供程序添加到EKS中。...一种既可以分配EC2实例级IAM角色，又可以完全信任基于安全组的方式，是为不同的Pod使用不同的工作节点集群，甚至是完全独立的集群。

2.7K2 0

从 Azure AD 到 Active Directory（通过 Azure）——意外的攻击路径

2.5K1 0

如何应用现代云计算安全的最佳实践

安全软件提供商XYPRO Technology公司首席产品官Steve Tcherchian表示，“企业将其应用程序迁移到云端，并不意味着可以将网络安全责任转移到云计算提供商身上”。...例如，对托管在云计算网络上的服务器进行DDoS攻击要困难得多，因为云计算网络通常拥有数百千兆位的容量，并且不容易被泛滥的数据淹没。...随着企业将业务迁移到云端，他们必须通过身份访问与管理(IAM)规则制定核心组织策略，以便创建更好的整体安全状况。...需要了解的重要信息包括： •数据位置：了解数据的托管位置、使用的服务以及对该数据负责的人员。 •添加服务：确定谁正在添加和扩展服务。此外，找出谁可以添加服务，并检查添加的条款。...在业务方面，这意味着确保企业员工了解最新的安全程序，并接受必要的安全培训，无论员工在企业中的角色如何，这降低了导致安全漏洞错误的可能性。

8475 0

AMBERSQUID 云原生挖矿恶意软件疑似与印尼黑客有关

/ulang.sh 角色与权限容器执行的第一个脚本 amplify-role.sh 会创建 AWSCodeCommit-Role 角色，该角色是攻击者在攻击过程中使用到的多个角色之一。..."Action": "sts:AssumeRole" } ] } 随后，恶意软件会将 CodeCommit、CloudWatch 和 Amplify 的完整访问策略增加到该角色中...（向右滑动，查看更多）还包括一些内联策略： aws iam put-role-policy --role-name AWSCodeCommit-Role --policy-name amed --policy-document...，可以托管私有 Git 存储库。...策略。

3013 0

用于Web爬虫解决方案的无服务器体系结构

乍一看，前一种选择可能会更具吸引力-您可以免费使用基础架构，为什么不使用它呢？本地托管解决方案的主要问题是可靠性-在断电，硬件或网络故障的情况下，您可以确保其可用性吗？...在本地更新脚本文件并将更改提交到AWS CodeCommit上的代码存储库之后，将触发CloudWatch事件，并且AWS CodeBuild将构建新的Docker映像并将其提交到Amazon ECR。...自动化Lambda函数开发的一种方法是使用 AWS Cloud Development Kit （AWS CDK），这是一个开放源代码软件开发框架，可以使用熟悉的编程语言来建模和配置您的云应用程序资源...举个例子，请看一下GitHub上的这个Python类，它创建一个Lambda函数，一个CloudWatch事件，IAM策略和Lambda层。...总而言之，AWS CDK允许您将基础架构作为代码，并且所有更改都将存储在代码存储库中。

2.6K2 0

2024年构建稳健IAM策略的10大要点

综观组织在IAM面临的常见挑战，以及在新一年实施稳健策略的建议。...让我们来看看组织面临的一些常见IAM挑战和实现可靠IAM策略的建议。 1. 组建身份团队软件首先关注人。在启动现代身份和访问管理或刷新现有实现时，首先组建一个具有以下四个关键角色的团队。...每个成员都应该是战略思考者，理想情况下拥有一些IAM知识或经验。这些不是全职角色。而是把他们看作是在提出解决方案时需要通知的人。...使用可移植的代码可以让您以后切换到一个更好的授权服务器，而无需使任何已完成的设计或编码工作无效。另一个关键的设计因素应该是后端托管的可移植性和功能。...在设计IAM策略时，您可以阅读我们的在线资源以了解安全设计模式，而与您选择的IAM解决方案提供商无关。

1241 0

如何使用Domain-Protect保护你的网站抵御子域名接管攻击

缺少S3源的CloudFront发行版的ALIAS记录； · 缺少S3源的CloudFront发行版的CNAME记录； · 存在接管漏洞的ElasticBeanstalk的ALIAS记录； · 缺少托管区域的已注册域名...订阅SNS主题，发送JSON格式的电子邮件通知，其中包含帐户名、帐户ID和存在安全问题的域名；工具要求 · 需要AWS组织内的安全审计账号； · 在组织中的每个AWS帐户都具有相同名称的安全审核只读角色...1.0.x；工具源码获取广大研究人员可以通过下列命令将该项目源码克隆至本地： git clone https://github.com/ovotech/domain-protect.git 工具使用...策略针对最小特权访问控制，项目提供了AWS IAM策略样例： domain-protect audit policy https://github.com/ovotech/domain-protect.../domain-protect-deploy.json 工具使用截图部署至安全审计账号扫描整个AWS组织通过Slack或电子邮件接收提醒消息通过笔记本电脑手动执行扫描任务项目地址 https

2.5K3 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云