serverless-framework - Serverless, Inc 是否会看到我的 AWS 凭证?
问题描述
我想开始使用无服务器框架来管理我公司的 lambda 部署,但我们处理 PHI,所以安全性很严格。我们的合规总监和 CTO 担心将我们的 AWS 密钥和秘密传递给另一家公司。
在执行时serverless deploy
,AWS 凭证是否真正传递给 Serverless, Inc?
如果没有,有人可以指出我可以在代码中的哪个位置证明这一点吗?
谢谢!
解决方案
运行无服务器部署不仅仅是一个调用,而是多个调用。AWS 示例(过于简单化):
- 检查部署 s3 存储桶是否已存在
- 创建 S3 存储桶
- 将包上传到 s3 存储桶
- 调用 CloudFormation
- 检查 CloudFormation 堆栈状态
- 获取已创建资源的信息(例如已创建 API 的端点 url)
这些电话可能会根据您正在做什么以及您之前做过的事情而改变。
我要说明的一点是,这些包含您的凭据的调用并非都位于一个地方,如果您想对无服务器框架及其所有依赖项进行完整的代码审查,请尽情享受。
但在底层,我们知道它实际上是在使用 JavaScript aws-sdk(去看看package.json),而且我们知道哪些端点使用了 {service}.{region}.amazonaws.com。
因此,为了向您的雇主证明,除了 AWS 之外,您的凭证不会在任何地方使用,您可以在运行 wireshark 的情况下运行无服务器部署(其他网络数据包分析器可用)。这样您就可以看到任何无法访问 amazonaws.com 的内容
但是等等,为什么在我运行部署时会调用 serverless.com 和 serverlessteam.com?
好吧,这只是跟踪一些统计数据,您可以在此处查看他们跟踪的内容。但如果你是超级偏执狂,这可以用serverless slstats --disable
.
推荐阅读
- docker - 为什么我的 docker 容器在 Kubernetes 中运行时会获得根组?
- eclipse - 如何使用 Eclipse JDT ITypeBinding 区分用户定义的类和 API 类
- java - 将多部分文件上传到 S3
- python - 我的 If-Else 条件代码有什么问题,它接收用户输入并将数据按“热”或“冷”分类
- python - 为 SciPy 稀疏 CSC 矩阵构建 Indptr
- javascript - 根据月份突出显示行
- java - 为什么这两种类型不同?
- r - 如何使用 R 中的剪切函数转换列日期中的数据
- node.js - 使用 PEM 密钥创建 RSA-SHA256 签名
- javascript - onClick JS没有转到页面顶部