如何使用 AWS CDK 将元数据添加到 IAM 策略？答案

【问题标题】：How to add Metadata to IAM Policy using AWS CDK?如何使用 AWS CDK 将元数据添加到 IAM 策略？
【发布时间】：2019-12-28 03:22:00
【问题描述】：

我需要为 IAM 策略添加一些元数据到 Cloudformation。如何使用 CDK 做到这一点？

我正在使用 CDK 来合成 cloudformation，我需要包含一个元数据来抑制 cfn-nag (https://github.com/stelligent/cfn_nag) 警告。

我使用以下语句生成策略：

const cfnCustomPolicy = new iam.CfnPolicy(scope,
    'cfnCustomPolicy', 
    {
        policyName: "CustomPolicy",                
        policyDocument: {
            Version: "2012-10-17",
            Statement: [
                {
                    Effect: "Allow",
                    Action: "apigateway:GET",
                    Resource: [
                        "arn:aws:apigateway:us-east-1::/restapis/*/stages/*/exports/*"
                    ]
                }
            ]
        }
    }
);

cfnCustomPolicy.cfnOptions.metadata = {
    cfn_nag: {
        rules_to_suppress: [
            {
                id: "W12",
                reason: "The lambda need access to export documents from any API"
            }
        ]
    }            
}

有没有更好的方法使用 CDK 来做到这一点，而不使用 L1 接口？

【问题讨论】：

标签： amazon-web-services amazon-cloudformation amazon-iam aws-cdk

【解决方案1】：

是的，根据文档，这是唯一的方法

https://docs.aws.amazon.com/cdk/latest/guide/cfn_layer.html

但是，这并不意味着您只能使用 CfnXXX 创建构造，您可以使用 CDK 构造来完成此操作

cfn_policy = self.policy.node.default_child
cfn_policy.cfn_options.metadata = {
        "cfn_nag": {
            "rules_to_suppress": [
                {"id": "W9"},
                {"id": "W2"}
            ]
        }
    }

我试过 node.add_metadata 但显然它只添加了内部 cdk 元数据

【讨论】：