gpt4 book ai didi

amazon-web-services - 仅允许通过删除 CloudFormation 堆栈来删除 AWS 资源

转载 作者:行者123 更新时间:2023-12-03 07:40:33 24 4
gpt4 key购买 nike

请帮忙解决这个案例:

有一个 CF 堆栈创建一些 AWS 资源(由管理员帐户创建)。有一个 AWS 用户(高级用户)允许删除 CF 堆栈。

我的目标:

允许用户通过CF堆栈删除来删除CF堆栈和所有创建的资源。拒绝用户从资源控制台删除(和修改)资源。

问题:

如果用户只有cloudformation:DeleteStack权限,则只能发起删除,因为他没有删除资源的权限(例如lambda:DeleteFunction)如果他拥有这些权限,他可以从资源控制台(例如 Lambda 控制台)删除资源,而不仅仅是通过 CF 堆栈删除。

有什么想法吗?

最佳答案

CloudFormation 可以承担一个角色来完成其工作:https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html

因此,创建一个拥有部署堆栈所需的所有权限的角色,并确保它只能由 CloudFormation 承担。然后授予该用户创建和删除堆栈的权限,以及列出角色以及执行创建/删除所需的任何其他内容(您必须进行一些实验,因为某些所需的权限并不明显) .

关于amazon-web-services - 仅允许通过删除 CloudFormation 堆栈来删除 AWS 资源,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/69838539/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com