Deux rôles, deux responsabilités
| Rôle | Obligatoire | Responsabilité |
|---|---|---|
wasteless-readonly | Oui | Describe, Get et List pour collecter et détecter |
wasteless-remediation | Non | Actions AWS explicitement autorisées par la politique |
Les écritures échouent si
AWS_WRITE_ROLE_ARNn'est pas configuré.Les sessions STS sont temporaires et identifiables dans CloudTrail.
L'ExternalId est recommandé lorsque l'appelant se trouve dans un autre compte.
Les identifiants source suivent la chaîne AWS standard et doivent seulement pouvoir assumer les rôles.
Des contrôles adaptés au chemin d'action
Le dry-run est actif par défaut et l'auto-remédiation est désactivée par défaut. Whitelist, score de confiance, horaires autorisés, limites de débit et préconditions de ressource complètent la politique selon le type d'action.
| Action | Exécution | Retour arrière |
|---|---|---|
| Arrêter EC2 | AWS direct | Redémarrage possible |
| Terminer EC2 | AWS direct | Destructif |
| Supprimer EBS | Remédiateur avec snapshot préalable | Recréation manuelle depuis le snapshot |
| Migrer gp2 vers gp3 | Remédiateur | Pas de rollback automatique |
| Supprimer NAT ou load balancer | Remédiateur | Destructif |
| Downsize, snapshot, EIP, VPC | Manuel | Dépend du runbook externe |
Données, audit et couche LLM
L'inventaire, les recommandations et l'historique restent dans votre PostgreSQL auto-hébergé.
Les actions et changements d'état alimentent une piste d'audit.
Le LLM est optionnel, appelé via LiteLLM et ne décide, n'autorise ni n'exécute une action.
Un modèle hébergé reçoit le contexte envoyé dans le prompt. Ollama permet une exécution locale si cette configuration correspond à votre politique.
Protégez l'interface en production
- Ports 8888 et 5432 non exposés
- TLS valide et contrôle d'accès testé
- Rôle de remédiation absent quand il n'est pas nécessaire
- Auto-remédiation désactivée pendant l'évaluation
- Steampipe aligné sur le rôle de lecture
- Secrets hors Git et permissions de fichiers restreintes
- CloudTrail et logs Wasteless conservés selon votre politique
Frontière de responsabilité
| Wasteless fournit | Votre équipe configure |
|---|---|
| Rôles séparés et échec fermé des écritures | Principal de confiance, ExternalId et portée IAM |
| Dry-run et politiques d'action | Actions activées, whitelist, horaires et seuils |
| Historique applicatif | Rétention, sauvegarde, accès et corrélation CloudTrail |
| Écoute loopback par défaut | Proxy, authentification, VPN, TLS et firewall |