我正在尝试使用 IAM 设置我的 CI/CD,只有特定的 IAM 用户才能使用Update我们的ProdCloudFormation 堆栈。
但我们Update对 CloudFormation 的政策如何运作感到困惑。
如果我的 IAM 用户只有一个策略:Update在ProdCloudFormation 堆栈上,即使他没有这些特定权限,他是否能够编辑/更改此堆栈中的任何资源?
例如,我在此堆栈上有一个 S3 存储桶,我在更新时更改了它的名称,即使他只有策略,该用户是否能够执行此操作Update?
如果我的 IAM 用户只有一个策略:
Update在ProdCloudFormation 堆栈上,即使他没有这些特定权限,他是否能够编辑/更改此堆栈中的任何资源?
不。
参考:
除了 AWS CloudFormation 操作之外,您还可以管理可供每个用户使用的 AWS 服务和资源。这样,您可以控制用户在使用 AWS CloudFormation 时可以访问哪些资源。例如,您可以指定哪些用户可以创建 Amazon EC2 实例、终止数据库实例或更新 VPC。只要他们使用 AWS CloudFormation 执行这些操作,就会应用这些相同的权限。