Как безопасно вытащить код из корзины aws s3 в репозиторий Codecommit с помощью Cloudformation?

Question

В AWS я могу успешно извлекать код из существующего сегмента S3 в новое хранилище в Codecommit после создания стека конвейера в Cloudformation (с использованием файла YAML).

Это работает отлично, ноЯ надеюсь убедиться, что сама корзина S3 является частной, а не общедоступной, и хочу, чтобы какая-то система аутентификации гарантировала, что для того, чтобы пользователь правильно извлек код из моей корзины s3, ему нужно было предоставить правильную аутентификацию в облачную информацию, чтобы он мог правильнозаполнить репозиторий Codecommit.

Какой сервис AWS лучше для меня?Я думал об использовании шлюза API с авторизатором Lambda, но мне интересны другие сервисы AWS, которые могли бы сделать это проще.

Answer 1

Подходит ли AWS Roles для ваших нужд?Вы можете прикрепить роль к S3, которая позволяет пользователям загружать код:

{
    "Version": "2008-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS: [
                    "arn:aws:iam::AWS-account-ID:user/user-name-1",
                    "arn:aws:iam::AWS-account-ID:user/user-name-2", 
                ]
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::YOUR_BUCKET/SOME/PATH"
        }
    ]
}

и / или, если у вас нет предопределенных пользователей, вы можете разрешить Lambda взять на себя такую ​​роль, как объяснено здесь и вернуть учетные данные через шлюз API с помощью Lambda авторизатора.