amazon-web-services - 在CloudFormation中， "A DependsOn B"是否确保A先于B被删除？-6ren

amazon-web-services - 在CloudFormation中， "A DependsOn B"是否确保A先于B被删除？

转载作者：行者123 更新时间：2023-12-03 07:26:41

25

4

我们正在使用 CloudFormation 为其设置角色和策略。使用“DependsOn”属性将策略设置为取决于角色，如下所示:

角色定义:

"LambdaExecutionRole": {
  "Type": "AWS::IAM::Role",
  "Properties": {
  [...]

政策定义:

"lambdaexecutionpolicy": {
  "DependsOn": [
    "LambdaExecutionRole"
  ],
  "Roles": [
    {
      "Ref": "LambdaExecutionRole"
    }
  ],
  [...]

来自official documentation ，我理解两个实体之间的这种 DependsOn 关系应该确保策略始终在角色之前被删除。

Resource A is deleted before resource B.

但是，我们遇到一个错误，系统似乎尝试删除策略之前的角色:

Resource Name: [...] (AWS::IAM::Role)
Event Type: delete
Reason: Cannot delete entity, must delete policies first. (Service: AmazonIdentityManagement; Status Code: 409; Error Code: DeleteConflict; Request ID: [...]; Proxy: null)

我不确定这怎么可能，因为我会考虑“A DependsOn B”以确保系统在删除 A 之前不会尝试删除 B。我的理解是否错误？是否存在系统尝试在 A 之前删除 B 的情况？

是的，我知道在这种情况下，明显的解决方案是使用内联策略，因为该策略仅用于此特定角色。但由于这种行为似乎与我对官方文档的直观理解相冲突，因此我想正确理解“DependsOn”属性的实际含义。

最佳答案

TL;DR 无法复制该错误。 DependsOn 似乎不是罪魁祸首。

我使用 CDK 创建了两个版本的最小测试堆栈，仅使用两个资源:AWS::IAM::Role 和 AWS::IAM::ManagedPolicy 。 V1 没有对该角色设置明确的策略依赖关系。 V2 和 OP 一样，也是这么做的。差异没有什么区别。两个版本都部署并销毁，没有错误。

版本 1:CDK 生成的默认值:模板中没有“取决于”

版本 2(如 OP):具有显式依赖性 - 策略取决于角色。 CDK 在模板中添加了一行:"TestPolicyCC05E598"

下的 "DependsOn": [ "TestRole6C9272DF"]

这两个版本的区别仅在于单个DependsOn。两个版本都按预期部署和销毁，没有错误。

// resource section of CDK-generated Cloud Formation Template
"Resources": {
  "TestRole6C9272DF": {
    "Type": "AWS::IAM::Role",
    "Properties": {
      "AssumeRolePolicyDocument": {
        "Statement": [
          {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
              "Service": "lambda.amazonaws.com"
            }
          }
        ],
        "Version": "2012-10-17"
      }
    },
    "Metadata": {
      "aws:cdk:path": "TsCdkPlaygroundIamDependencyStack/TestRole/Resource"
    }
  },
  "TestPolicyCC05E598": {
    "Type": "AWS::IAM::ManagedPolicy",
    "Properties": {
      "PolicyDocument": {
        "Statement": [
          {
            "Action": [
              "logs:CreateLogGroup",
              "logs:CreateLogStream",
              "logs:PutLogEvents"
            ],
            "Effect": "Allow",
            "Resource": "*"
          }
        ],
        "Version": "2012-10-17"
      },
      "Description": "",
      "Path": "/",
      "Roles": [
        {
          "Ref": "TestRole6C9272DF"
        }
      ]
    },
    "DependsOn": [
      "TestRole6C9272DF"  // <-- The difference that makes no difference
    ],
    "Metadata": {
      "aws:cdk:path": "TsCdkPlaygroundIamDependencyStack/TestPolicy/Resource"
    }
  },

关于amazon-web-services - 在CloudFormation中， "A DependsOn B"是否确保A先于B被删除？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/70378869/

25

4

0

文章推荐： json - 将 CLI 代码转换为 CloudFormation JSON 格式

文章推荐： android - ViewBinding - 如何获得包含布局的绑定(bind)？

文章推荐： shell - 如何判断(在 sh 中)目录是否通过 NFS 挂载

文章推荐： amazon-web-services - AWS cloudformation 域名和 API 映射

aws-cloudformation - Cloudformation 更新的试运行
有没有办法在试运行模式下运行 AWS cloudformation 更新？因为我意识到 aws validate 不会拾取所有错误，并且当您运行更新时会抛出新错误。最佳答案最接近的方法是运行模拟测
aws-cloudformation - 具有方法限制的使用计划的 Cloudformation
我是 cloudformation 的新手，我正在尝试按照 AWS 文档创建具有方法限制的使用计划。我需要定义一个 ApiStage具有 Throttle 属性。我尝试了以下方法，但收到错误 - 属
aws-cloudformation - Cloudformation 堆栈创建策略
我正在整理一个用于运行 cloudformation/sam 的角色/策略，以尽可能地限制访问。是否有一组通用的策略操作应该用于运行 create-stack？这是一个代码构建，我使用它在应用程序运
aws-cloudformation - Cloudformation 堆栈可以知道它是否正在创建或更新吗？
我正在尝试创建一个资源，其属性之一不是常量值。听起来像是堆栈参数的工作，只不过它是一个在某些情况下可以采用 Ref 函数形式的字符串。具体来说，如果是初始创建，我希望参数值是对另一个资源的 Ref，如
aws-cloudformation - CloudFormation 将根设备与已停止的实例分离
我的实际任务是: 在 CloudFormation 外部创建 AMI 使用 CloudFormation 从 AMI 启动实例分离所有现有卷(包括根卷和数据卷) 附加根据最新快照创建的新卷(根卷和数
aws-cloudformation - Cloudformation 未使用我的模板创建标签
我在 cloudformation 中有一个启动实例的模板。它工作正常，但它没有创建我在模板中提到的标签。下面是我的模板 { "AWSTemplateFormatVersion": "2010-0
aws-cloudformation - CloudFormation 一致性包
我尝试通过 Cloudformation 使用 AWS Conformance Pack。我创建了一些非常简单的东西: 以下堆栈创建 S3 存储桶 + 一致性包。然后我将一致性包模板存储到另一个 S3
aws-cloudformation - Cloudformation 自定义资源触发器
我的目标是编写一个 Lambda 函数，根据标签将角色附加到 EC2 实例。因此，每当创建新的 Ec2 实例时，都必须自动为其附加一个角色。我希望根据 EC2 实例状态更改(正在运行)触发 lambd
aws-cloudformation - CloudFormation OpenVPN
我想使用 CloudFormation 配置 OpenVPN，我想我可以从市场获取 AMI ID 并启动它，因为我想启动一个具有 10 个连接的实例，但不幸的是我无法从市场获取 AMI ID 。如何获
aws-cloudformation - Cloudformation 证书失败
我有一个正在创建 ACM 证书的 cloudformation 堆栈。昨天的代码运行良好，因此我将其移至嵌套堆栈中。该模板来自一个非常漂亮的示例。我有一个托管区域，这就是我请求证书的地方，模板有一个
aws-cloudformation - CloudFormation 是否目标名称或资源？
我目前正在使用 terraform 和 CloudFormation 之间犹豫。有一个问题我还没有看到答案(或者也许，我只是还没有找到它)。在 terraform 中，您可以为所有事物指定准确的名称
aws-cloudformation - Cloudformation 模板验证错误？
我收到以下错误，但不知道它来自哪里，希望有人可以提供帮助。模板验证错误:模板格式错误:任何 Properties 成员都必须是 JSON 对象。 cloudformation脚本 { "AWST
aws-cloudformation - 用于多个参数文件和单个模板的 CloudFormation
我目前将所有参数存储在 Systems Manager Parameter Store 中，并在 CloudFormation 堆栈中引用它们。我现在陷入了同一 Cloudformation 模板的
aws-cloudformation - Cloudformation 路由错误
我正在创建一条通往互联网网关的公共(public)路由。当我通过 GUI 进行配置时，完全没有问题。当我尝试通过我的 Cloudformation 模板执行此操作时，每次都会失败。这是网关的构建，没有
aws-cloudformation - cloudformation 模板中没有输出部分
在cloudformation模板中，有一个输出部分，用于与跨堆栈对话。如果我们在一个 AWS 账户中只创建一个堆栈，那么这部分不应存在，这样说是否正确？最佳答案输出部分可用于通过 Export
aws-cloudformation - Cloudformation - 父堆栈的映射是否传递给子堆栈？
我有以下结构(几乎是样板文件)。我的问题是，我在 ParentStack 中定义的映射在 ChildSTack 中可用还是我需要复制它们？我知道我可以将参数传递给 ChildStack，但想知道 Ma
aws-cloudformation - CloudFormation - 访问子嵌套堆栈中父堆栈的输出
我有一个主 Cloudformation 模板，它调用两个子模板。我运行了第一个模板，并在资源的 Outputs 部分中捕获了输出。我已经在嵌套的第二个模板中使用 ChildStack01 输出值进行
aws-cloudformation - Cloudformation 漂移检查何时发生？
除了Web控制台中的“检查漂移”功能之外，是否还有其他触发器可以进行检查？ cloudformation 是否会在堆栈更新之前自动检查偏差？假设我有一个创建 s3 存储桶的 cf 堆栈。然后我从 W
aws-cloudformation - Cloudformation 模板验证器
有没有办法在 CFN 模板中包含自定义验证器？我知道我们可以像这样添加规则执行: https://aws.amazon.com/blogs/mt/how-to-perform-cross-param
aws-cloudformation - CloudFormation 循环依赖
我正在使用 CloudFormation 模板创建 KMS key ，然后使用该模板在另一个模板中创建 IAM 角色，因为它引用了 KMS key 。需要更新创建 KMS key 的堆栈以将 IAM

首页

博学

6Ren·AI

商城

amazon-web-services - 在CloudFormation中， "A DependsOn B"是否确保A先于B被删除？