我正在尝试设置服务目录,以便测试用户可以运行云形成堆栈。我授予了用户/组对服务目录和 s3 的权限。当我尝试运行堆栈时,它给了我错误,说我没有足够的权限。错误可以在下图中看到。我是否需要为 CloudFormation 模板中使用的所有服务授予 IAM 权限?我认为这没有必要,因为它只会运行模板并只制作其中发布的内容。
问问题
55 次
2 回答
0
是的,CloudFormation 需要获得许可才能执行其操作
我们可以使用AWS CloudFormation 服务角色- 来控制使用。
这意味着我们必须赋予用户使用 CloudFormation 创建事物的能力,但同时防止他们通过控制台或 aws-cli 做同样的事情。
以下是如何实现此目的的示例 - CloudFormation 服务角色示例
于 2020-08-12T14:55:23.710 回答
0
我认为您应该为您的产品设置一个AWS::ServiceCatalog::LaunchRoleConstraint 。
该角色将由您的产品来启动它。这样,您的使用就不需要额外的特权,因为启动您的产品所需的每个权限都将由该角色提供。
于 2020-08-12T21:22:39.920 回答