问题描述
我正在尝试建立服务目录,以便测试用户可以运行云形成堆栈。我向用户/组授予了服务目录以及s3的权限。当我尝试运行堆栈时,出现错误,提示我没有足够的权限。该错误可以在下图中看到。是否需要为CloudFormation模板中使用的所有服务授予IAM权限?我认为没有必要,因为它只运行模板并仅生成其中发布的内容。
解决方法
是的,CloudFormation的操作需要获得许可
我们可以使用AWS CloudFormation service role-来控制使用情况。
这意味着我们必须赋予用户使用CloudFormation创建内容的能力,但同时又要阻止用户通过控制台或aws-cli进行操作。
以下是如何实现此目的的示例-CloudFormation Service Role Example
,我认为您应该设置一个AWS::ServiceCatalog::LaunchRoleConstraint 用于您的产品。
您的产品将扮演launch it的角色。这样,您的使用就不需要额外的特权,因为启动产品所需的每个权限都将由角色提供。