Serverless, Inc 是否会看到我的 AWS 凭证?
Does Serverless, Inc ever see my AWS credentials?
我想开始使用无服务器框架来管理我公司的 lambda 部署,但我们处理 PHI,因此安全性很严格。我们的合规总监和 CTO 担心将我们的 AWS 密钥和秘密传递给另一家公司。
在执行 serverless deploy 时,AWS 凭证是否真的传递给 Serverless, Inc?
如果不是,有人可以指出我可以在代码中的哪个位置证明这一点吗?
谢谢!
运行 无服务器部署不仅仅是一次调用,而是多次调用。
AWS 示例(过度简化):
- 检查部署 s3 存储桶是否已经存在
- 创建 S3 存储桶
- 将包上传到 s3 存储桶
- 调用 CloudFormation
- 检查 CloudFormation 堆栈状态
- 获取已创建资源的信息(例如已创建 API 的端点 URL)
这些电话会根据您正在做的事情和您之前做过的事情而改变。
我想说的是,这些包含您的凭据的调用并不都位于一个地方,如果您想对无服务器框架及其所有依赖项进行完整的代码审查,请玩得开心那。
但在幕后,我们知道它实际上在使用 JavaScript aws-sdk(去查看 package.json),并且我们知道使用 {service} 的端点。{region }.amazonaws.com.
因此,为了向您的雇主证明,除了 AWS,您的凭据不会去任何地方,您可以 运行 使用 wireshark 运行ning 进行无服务器部署(其他网络数据包分析器可用)。这样你就可以看到任何不会 amazonaws.com
的东西
但是等等,为什么在我 运行 部署时调用 serverless.com 和 serverlessteam.com?
嗯,这只是跟踪一些统计数据,您可以看到他们跟踪的内容 here。但如果你是超级偏执狂,可以用 serverless slstats --disable.
关闭它
我想开始使用无服务器框架来管理我公司的 lambda 部署,但我们处理 PHI,因此安全性很严格。我们的合规总监和 CTO 担心将我们的 AWS 密钥和秘密传递给另一家公司。
在执行 serverless deploy 时,AWS 凭证是否真的传递给 Serverless, Inc?
如果不是,有人可以指出我可以在代码中的哪个位置证明这一点吗?
谢谢!
运行 无服务器部署不仅仅是一次调用,而是多次调用。 AWS 示例(过度简化):
- 检查部署 s3 存储桶是否已经存在
- 创建 S3 存储桶
- 将包上传到 s3 存储桶
- 调用 CloudFormation
- 检查 CloudFormation 堆栈状态
- 获取已创建资源的信息(例如已创建 API 的端点 URL)
这些电话会根据您正在做的事情和您之前做过的事情而改变。
我想说的是,这些包含您的凭据的调用并不都位于一个地方,如果您想对无服务器框架及其所有依赖项进行完整的代码审查,请玩得开心那。
但在幕后,我们知道它实际上在使用 JavaScript aws-sdk(去查看 package.json),并且我们知道使用 {service} 的端点。{region }.amazonaws.com.
因此,为了向您的雇主证明,除了 AWS,您的凭据不会去任何地方,您可以 运行 使用 wireshark 运行ning 进行无服务器部署(其他网络数据包分析器可用)。这样你就可以看到任何不会 amazonaws.com
的东西但是等等,为什么在我 运行 部署时调用 serverless.com 和 serverlessteam.com?
嗯,这只是跟踪一些统计数据,您可以看到他们跟踪的内容 here。但如果你是超级偏执狂,可以用 serverless slstats --disable.