Чтобы мои разработчики могли использовать Бессерверная структура чтобы развернуть новые функции AWS Lambda, они должны иметь возможность создавать роли. Я хотел бы дать им разрешение на создание ролей, которые могут выполнять только ограниченное количество вещей. Например s3:, динамодб:, Cloudfront: Обновление *
Но я не хочу, чтобы они (RoleA) могли создавать роли (RoleB), которые могут делать что угодно с EC2, IAM и т. Д. Как вы можете ограничить это разрешение?
У меня тоже была такая же проблема; единственное решение, которое я нашел, заключалось в том, чтобы создать роль, которая будет использоваться с лямбда-выражениями, до того, как они фактически осуществят развертывание, и предоставить им роль ARN для передачи в Serverless для развертывания Lambda.
Таким образом, они всегда использовали те же роли, которые я им дал, а к ролям я прикрепил настраиваемые политики только с необходимыми разрешениями для работы лямбда-выражений.
Вам нужно только предоставить их пользователям разрешение на перечисление и присоединение ролей, если я правильно помню, а не на CreateRole.