问题描述
我已经创建了一个堆栈,在其中我们创建了一个lambda,从SDK执行一些代码,访问s3,写入dynamo和其他一些东西,现在的问题是我们试图将其部署到其他帐户/区域我们再也不会部署了,但是现在我们遇到了许多与权限相关的问题,其中一些已经由我的团队看到并且已经得到了适当的记录,但是在其他情况下,其他团队可能正面临这些错误,而我们没有那种背景,我们尝试一一出现,但令人痛苦,我的问题是,是否有一种方法可以描述/分析我假设的角色角色,以便在配置之前执行该堆栈,或者如何执行弄清楚我的资源需要哪个权限?或基本上是遍及所有权限
解决方法
我真的很希望这样的东西存在,但我不认为很快会有一个可靠的东西被开发出来。但是,由于我本人一直走这条路,所以我建议您进行一些管理。
AWS CloudFormation service role 使您可以传递比向普通用户授予更高权限的角色。简而言之,您必须首先创建一个具有相当大的权限甚至管理权限的角色。然后,您需要允许普通用户对该资源(角色)执行iam:PassRole操作。最后,在部署CloudFormation堆栈时,请确保在堆栈选项中将创建的角色指定为“服务角色”。
从安全的角度来看,使用服务角色或为普通用户提供许多不同的权限都各有利弊。您必须自己评估是否有可以管理的风险。