serverless-framework - Serverless, Inc 是否会看到我的 AWS 凭证？

我想开始使用无服务器框架来管理我公司的 lambda 部署，但我们处理 PHI，所以安全性很严格。我们的合规总监和 CTO 担心将我们的 AWS 密钥和秘密传递给另一家公司。

在执行时serverless deploy，AWS 凭证是否真正传递给 Serverless, Inc？

如果没有，有人可以指出我可以在代码中的哪个位置证明这一点吗？

谢谢！

标签： serverless-frameworkserverlessaws-serverless

运行无服务器部署不仅仅是一个调用，而是多个调用。AWS 示例（过于简单化）：

这些电话可能会根据您正在做什么以及您之前做过的事情而改变。

我要说明的一点是，这些包含您的凭据的调用并非都位于一个地方，如果您想对无服务器框架及其所有依赖项进行完整的代码审查，请尽情享受。

但在底层，我们知道它实际上是在使用 JavaScript aws-sdk（去看看package.json），而且我们知道哪些端点使用了 {service}.{region}.amazonaws.com。

因此，为了向您的雇主证明，除了 AWS 之外，您的凭证不会在任何地方使用，您可以在运行 wireshark 的情况下运行无服务器部署（其他网络数据包分析器可用）。这样您就可以看到任何无法访问 amazonaws.com 的内容

但是等等，为什么在我运行部署时会调用 serverless.com 和 serverlessteam.com？

好吧，这只是跟踪一些统计数据，您可以在此处查看他们跟踪的内容。但如果你是超级偏执狂，这可以用serverless slstats --disable.