gpt4 book ai didi

amazon-web-services - 如何为临时用户分配策略?

转载 作者:行者123 更新时间:2023-12-03 07:35:58 29 4
gpt4 key购买 nike

背景:

通过跨账户角色 someaccountrole,我可以访问 AWS 账户 xyz


案例 1

要在帐户 xyz 中创建堆栈,我们通过控制台上传 Cloudformation 文件。

Events选项卡中创建堆栈时,我们看到第一个事件,如下所示:

enter image description here


案例 2

我们在 xyz 帐户中创建 EC2 实例。

使用sam deploy ,其中 sam deployaws cloudformation deploy 的包装器,我们从 EC2 运行以下命令来创建堆栈:

aws cloudformation deploy --template-file cfntemplate.yml --stack-name somestack-test --region us-east-1

在堆栈创建过程中,我们看到创建了类似的事件(如下所示):

enter image description here


在情况 2 中,用户是:arn:aws:sts::${AccountId}:assumed-role/Autodeploy/i-0000000cc4,我们在其中创建了 Autodeploy角色并分配给 EC2。堆栈创建完成后,该用户就会消失。


但在情况 2 中,用户 (i-0000000cc4) 需要权限才能执行以下操作,与情况 1 不同:

     {
"Action": [
"cloudformation:CreateStack",
"cloudformation:CreateChangeSet",
"cloudformation:CreateUploadBucket",
"cloudformation:ExecuteChangeSet",
"cloudformation:DeleteStack",
"cloudformation:Describe*",
"cloudformation:UpdateStack"
],
"Resource": [
"arn:aws:cloudformation:us-east-1:${AccountId}:stack/somestack*”
],
"Effect": "Allow"
}

否则,Events 选项卡在情况 2 中会出现以下错误:

User: arn:aws:sts::${AccountId}:assumed-role/Autodeploy/i-0000000cc4 
is not authorized to perform: cloudformation:CreateChangeSet on resource:
arn:aws:cloudformation:us-east-1:${AccountId}:stack/somestack-test

1) 在情况 1 中,权限以 someaccountrole 的形式给出,用于堆栈创建。但在情况 2 中,为什么通过 AWS CLI 创建堆栈需要堆栈创建权限?

2) 如何将内联策略(短暂)分配给此类临时 session 资源(i-0000000cc4)而不是 EC2?

最佳答案

1) In case 1, permissions are given as someaccountrole for stack creation. but in case 2, Why stack creation through AWS CLI require stack creation permission?

情况 1 中的堆栈由您使用 Permissions 堆栈选项指定的角色创建,请参阅 [1]。此 AWS Identity and Access Management (IAM) 服务角色通常具有所需的 cloudformation:...您在上面列出的权限。

2) How to assign an inline policy(short living) to such temporary session resource(i-0000000cc4) instead to an EC2??

将策略分配给 EC2 实例的实例配置文件是正确的!

如果您想要从 EC2 实例运行 AWS CLI 命令并且想要使用实例元数据服务来验证您的 CLI session ,则必须将所需的权限附加为附加到 EC2 的角色的内联策略通过实例配置文件的实例。

有关实例元数据服务的更多信息,请参阅 [2][3]。有关详细解释这些概念的非官方但详尽的博客文章,请参阅 [4]。

引用文献

[1] https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-add-tags.html
[2]https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-metadata.html
[3]https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#instance-metadata-security-credentials
[4]https://blog.gruntwork.io/authenticating-to-aws-with-instance-metadata-b6d812a86b40

关于amazon-web-services - 如何为临时用户分配策略?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57343279/

29 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com