SST 项目中如何为链接资源配置细粒度权限

在 SST (Serverless Stack) 项目中，当我们需要将 Lambda 函数与其他 AWS 资源(如 SQS 队列)进行连接时，通常会使用 link 属性来简化权限配置。然而，默认情况下这种连接方式会授予较为宽泛的权限(如 sqs:*)，这在生产环境中可能不符合最小权限原则的安全要求。

默认链接行为的问题

SST 提供的 link 属性确实极大简化了资源间的权限配置。例如，当我们将 Lambda 函数与 SQS 队列连接时：

const app = new sst.aws.Function('PublisherFn', {
  handler: 'publisher.handler',
  link: [queue],  // 默认会授予sqs:*权限
  url: true,
});

这种简化的方式虽然方便，但会授予 Lambda 函数对 SQS 队列的全部操作权限，这在实际生产环境中可能存在安全隐患。

解决方案：自定义权限配置

SST 提供了两种方式来实现更细粒度的权限控制：

方法一：使用 wrap 静态方法

我们可以使用 Linkable 的静态 wrap 方法来创建自定义权限的资源包装器：

import { Link } from "sst";

const customQueue = Link.wrap(queue, {
  permissions: ["sqs:SendMessage"] // 只授予发送消息权限
});

const app = new sst.aws.Function('PublisherFn', {
  handler: 'publisher.handler',
  link: [customQueue],  // 现在只会有sqs:SendMessage权限
  url: true,
});

方法二：修改内置链接

对于已经链接的资源，我们还可以在链接后修改其权限：

const app = new sst.aws.Function('PublisherFn', {
  handler: 'publisher.handler',
  link: [queue],  // 先链接
  url: true,
});

// 然后修改权限
queue.linkPermissions(app, ["sqs:SendMessage"]);

最佳实践建议

1. 遵循最小权限原则：始终只授予函数执行其功能所需的最小权限集
2. 权限审核：定期审查所有链接资源的权限配置
3. 环境差异：考虑在不同环境(开发/生产)中使用不同的权限级别
4. 文档记录：为自定义权限添加注释说明权限选择的理由

通过以上方法，我们可以在享受 SST 开发便利性的同时，也能满足生产环境对安全性的严格要求。