1

我正在尝试为我的 EC2 实例创建一个自动缩放组。这些实例由自定义密钥加密,因此我需要能够注入一个允许将所述密钥读取到自动缩放组的策略。

我决定利用ServiceLinkedRoleARN:AutoScalingGroup 的属性并创建具有所有必要权限的新自动缩放角色。

不幸的是,IAM::ServiceLinkedRole (SLR) 的属性不提供策略输入(与标准角色不同):

Type: AWS::IAM::ServiceLinkedRole
Properties: 
  AWSServiceName: String
  CustomSuffix: String
  Description: String

到目前为止,我无法找到解决方案。如果没有办法修改 SLR 的策略,我什至看不到允许创建我们自己的 SLR 的理由,所以我想这一定是有原因的。

你能帮忙解决我的问题吗?我的公司要求我为此使用 CloudFormation,因此无法进行控制台调整,但没有必要使用自定义 SLR,它对我来说只是最干净的解决方案。

4

1 回答 1

1

无法修改Auto Scaling 的服务相关角色:

使用 AWS Auto Scaling 创建的 AWSServiceRoleForAutoScalingPlans_EC2AutoScaling 角色,您只能编辑其描述,而不能编辑其权限

但是,应将 KMS 权限添加到您的实例角色,而不是 Auto Scaling 的服务相关角色。因此,您必须更改与您的AWS::IAM::InstanceProfile关联的角色。

于 2020-11-05T10:09:29.323 回答