Control del acceso a Recursos - Lumberyard Guía del usuario

Si proporcionásemos una traducción de la versión en inglés de la guía, prevalecerá la versión en inglés de la guía si hubiese algún conflicto. La traducción se proporciona mediante traducción automática.

Control del acceso a Recursos

La configuración correcta de los permisos de acceso es clave para garantizar que Cloud Canvas Responsable de recursos administra las características conectadas a la nube de su proyecto de forma segura.

escenarios de acceso y ProjectResourceHandler

Cloud Canvas El administrador de recursos de requiere que se admitan los siguientes escenarios de acceso. Se pueden crear roles adicionales con permisos más matizados, pero la tabla siguiente describe los requisitos de acceso básicos.


        Cloud Canvas requisito de acceso básico

Un miembro del equipo del proyecto debe poder crear pilas de grupos de recursos que contengan recursos de , pero no podrá crear ni modificar roles y políticas de. Esto introduce una complejidad significativa. Algunos recursos como Lambda requieren que el desarrollador del juego también proporcione un rol que asuma el recurso. El desarrollador del juego debe poder crear tales roles y administrar sus políticas. Sin embargo, otorgar IAM como estos permisos directamente a los miembros del equipo les haría administradores de forma efectiva.

Para habilitar la funcionalidad necesaria sin dejar de limitar lo que un miembro del equipo del proyecto puede hacer directamente, Cloud Canvas El administrador de recursos utiliza AWS CloudFormation recursos personalizados. El recurso personalizado controladores para Cloud Canvas El administrador de recursos de se implementa en el ProjectResourceHandler Lambda función en la pila del proyecto. El Lambda del rol de ejecución de la función (ProjectResourceHandlerExecution) concede permisos de que Cloud Canvas El administrador de recursos de requiere. Estos permisos no se conceden al equipo del proyecto miembros de.

Por ejemplo, el campo Custom::AccessControl recurso, descrito en detalle más adelante en este documento, es responsable de administrar las políticas en línea en varios roles de. Puede funcionar estas acciones en nombre del miembro del equipo del proyecto. Sin embargo, la Custom::AccessControl El controlador de también debe saber qué se debe poner en estas políticas. No puede confiar en que el miembro del equipo del proyecto proporcione esta información directamente. En su lugar, debe construye la información a partir de orígenes de confianza. Para ello, AccessControl utiliza de metadatos en definiciones de recursos de AWS CloudFormation. También construye ARN para los recursos de la pila identificado por AWS CloudFormation. De esta forma, solo un usuario con permiso para actualizar la pila puede influyen en las políticas que se construyen para los recursos de esa pila.


        Cloud Canvas flujo de permisos

Uso de la Recurso Custom::AccessControl

Como se describió anteriormente, Cloud Canvas La seguridad del administrador de recursos depende de IAM los roles de y Las credenciales de utilizadas desde asumiendo dichos roles. El escenarios de acceso y ProjectResourceHandler sección anterior de este tema explica por qué Cloud Canvas El administrador de recursos tiene la responsabilidad de administrar las políticas insertadas asociadas a estos roles.

Esta sección describe los datos utilizados por el Custom::AccessControl recurso para configurar los roles del proyecto. La Custom::AccessControl el recurso debe se definan en las siguientes plantillas:

Plantilla Descripción
project-template.json Causa políticas en los roles definidos en el project-template.json archivo que se actualizará. Estas funciones pueden proporcionar acceso a cualquier recurso definido en cualquier grupo de recursos en todos Las implementaciones de.
deployment-access-template.json Causa políticas en los roles definidos en el deployment-access-template.json archivo que se actualizará. Estas funciones puede proporcionar acceso a cualquier recurso en cualquier recurso de una implementación determinada.
resource-group-template.json Causa políticas en los roles definidos en el project-template.json y deployment-access-template.json archivos que se actualizarán. Sólo para el recurso definido en el resource-group-template.json El archivo se actualiza. Para funciones definido en el deployment-access-template.json , solo el Las instancias de esos roles para la implementación que contiene la pila del grupo de recursos son actualizado.

Este proceso se ilustra en el siguiente diagrama. El diagrama muestra los metadatos que es un rol de lectura y roles que se actualizan cuando una pila de grupo de recursos, una pila de acceso de implementación o La pila de proyecto de se actualiza.


        Configuración de roles de proyecto

Definiciones de recursos de Custom::AccessControl

El Custom::AccessControl El recurso de admite lo siguiente propiedades:

Propiedad Descripción
ConfigurationBucket El nombre del bucket de configuración del proyecto. Esta propiedad debe ser proporcionado por.
ConfigurationKey Identifica la ubicación en el bucket de configuración donde los datos de la pila La operación se almacena en. Sin embargo, el controlador de recursos personalizados depende de este valor cambiando en cada actualización. Los cambios de propiedad como esta causa AWS CloudFormation para invocar el del controlador de recursos personalizados en cada operación de pila.
ServiceToken Identifica el Lambda función que se invoca para el recurso personalizado. Este debe ser el proyecto global ProjectResourceHandler Lambda función que se define en el project-template.json del archivo.

El DependsOn atributo de la Custom::AccessControl recurso La definición de debe enumerar los siguientes recursos de.

  • Todos los recursos de la project-template.json, deployment-access-template.json, o bien resource-group-template.json archivos que proporcionan permisos de metadatos.

     

  • Todos los AWS::IAM::Role recursos que tienen RoleMapping de metadatos.

     

  • Cualquier recurso personalizado que cree roles implícitos, como Custom::LambdaConfiguration y Custom::ServiceApi Los recursos de.

     

Cuando utilizas la opción AWS CLI para administrar roles y permisos, estos recursos se enumeran para usted. Sin embargo, si edita estos archivos usted mismo, es importante que los mantenga dependencias. Sin estas dependencias, la Custom::AccessControl recurso podría actualizarse antes de que se hayan actualizado los demás recursos. Si esto ocurre, el botón Custom::AccessControl ya no tiene acceso a los últimos metadatos de Los recursos de y los cambios previstos podrían no realizarse.

Para obtener información sobre la configuración Custom::AccessControl permisos, consulte Metadatos de permisos para definiciones de recursos.