SCB*_*SCB 6 amazon-web-services amazon-cloudformation amazon-iam
我目前正在开发和启动一个相对简单的 cloudformation 堆栈。只是一些简单的 RDS 东西,通过外部 CI+CD 服务触发。
但是,我当前的开发周期效率非常低,这纯粹是因为我不明白我设置的持续集成IAM 组的 IAM 权限需要是什么。
我将尝试运行 Cloudformation 模板的部署,但会在设置某些内容并开始回滚时出现一些错误。回滚将失败,因为它需要不同的权限才能删除它迄今为止设法创建的内容。我添加了我发现的两个新权限,删除堆栈,因为它处于ROLLBACK_FAILED状态,然后重试。
我可以通配所有我需要的服务的所有权限,但是在将一些 AWS 凭证交给外部服务时,这不是最佳实践。
因为这。有没有办法知道我特别需要根据 cloudformation 模板设置哪些 IAM 权限?或者,每个 Cloudformation 资源是否需要一些 IAM 权限列表?我是否在尝试限制尽可能多的权限方面过于迂腐?还是我永远注定要进行 IAM 权限调整的试验?
我自己也有完全相同的问题,但找不到我想要的答案。
相反,我绘制了一个包含所有相关部分的图表,并根据以下方面考虑了每个部分:
- What does it need to do?
- Which resources does it touch/manage?
然后,对于该图的每个部分,我都编制了我认为需要的 IAM 访问列表,并编写了包含所需所有内容的特定策略。
然后我重播了 CloudFormation 堆栈创建,我仍然错过了一些权限,但大部分权限已经包含在我创建的策略中。
希望我的回答对你有帮助。
| 归档时间: |
|
| 查看次数: |
1639 次 |
| 最近记录: |