Seguendo i modelli di criteri forniti dalla documentazione di AWS si ottiene un documento politico (meno altre dichiarazioni) come questo:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
}
]
}
È davvero ideale? Idealmente, il principio del privilegio minimo ci direbbe che la risorsa dovrebbe essere ristretta agli ARN specifici delle interfacce di rete create da questo ruolo assunto, ma ovviamente non sapremo sapere quale interfaccia è disponibile fino a quando è stato creato Dì che il lambda è in qualche modo dirottato e esegue codice arbitrario. In teoria, ciò significa che lambda può cancellare qualsiasi interfaccia di rete che l'account globale possa vedere, giusto? Come si può, a livello di policy IAM, impedire l'accesso arbitrario alle interfacce di rete che il lambda non ha creato? È già questo il caso per impostazione predefinita? Non è chiaro dato il documento politico di esempio. Può almeno essere limitato a un determinato VPC?