如何通过 cfn 模板中的策略控制访问?

【问题标题】:how to control access via policy in cfn templates?如何通过 cfn 模板中的策略控制访问?
【发布时间】:2026-01-11 16:15:01
【问题描述】:

我有一个策略,定义为下面的 cloudformation 模板。我希望能够描述什么 aws 资源,他们可以通过 cfn 模板创建。我怎么做?我在下面附上了一个示例?

Type: 'AWS::IAM::Policy'
Properties:
  PolicyName: CFNUsers
  PolicyDocument:
    Version: "2012-10-17"
    Statement:
      - Effect: Allow
        Action:
          - 'cloudformation:Describe*'
          - 'cloudformation:List*'
          - 'cloudformation:Get*'
        Resource: '*'

【问题讨论】:

  • 抱歉,不清楚您要做什么? “他们”是谁?什么资源?政策是为了什么?
  • @Marcin - 谢谢。对困惑感到抱歉。我是我自己,对上面的最后一行->“资源:*”感到困惑,这到底意味着什么。愚蠢的错误。在此之下,我可以列出任何 IAM 角色、用户或其他 aws 资源,他们将有权执行 Action 下列出的操作。所以我只需要将 * 替换为我想要的资源或用户或角色。

标签: amazon-web-services amazon-cloudformation amazon-iam


【解决方案1】:

您的政策包含三个操作:

          - 'cloudformation:Describe*'
          - 'cloudformation:List*'
          - 'cloudformation:Get*'

这些操作可以在所有 (*) CloudFormation (CFN) 堆栈上执行,而不是“任何 IAM 角色、用户或其他 aws 资源”。这是因为使用这三个操作只能对 CFN 堆栈进行操作。

AWS::IAM::Policymanaged IAM policy。此类策略必须攻击 IAM 用户、角色或组。这样,您就可以将在 CFN 堆栈上执行三个操作的权限授予您要将策略附加到的对象/对象。

【讨论】:

    猜你喜欢
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript C# Mysql Docker 算法 前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库 机器学习 大数据 数据结构 微服务 js 人工智能 Go Android 面试 程序员 JVM 云原生 后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构 多线程 Spring Boot 云计算 LeetCode 分布式