【发布时间】:2020-04-24 06:23:55
【问题描述】:
我正在尝试以一种避免任何真正硬编码字符串的方式在 Cloudformation 中自动创建一些 IAM 策略(从技术上讲,这些是 KMS 密钥策略,但我认为在这种情况下并不重要) .但是,这需要大量的连接和引用,虽然我可以验证 yaml 格式正确并且堆栈将执行,但它失败并且正在生成的策略返回 MalformedPolicyDocument 异常。
是否可以让 Cloudformation 打印或记录它生成的结果策略,以便我可以看到差异是什么?
这是一个小sn-p,我仔细检查了这里引用的参数是否定义正确:
- Sid: "Allow security roles in all accounts to encrypt data"
Effect: "Allow"
Principal:
AWS:
- !Join
- ''
- - 'arn:aws:iam::'
- !Ref "AWS::AccountId"
- ':role/'
- !Ref SecurityRolePrefix
- !Join
- ''
- - 'arn:aws:iam::'
- !Ref AdditionalAccount1
- ':role/'
- !Ref SecurityRolePrefix
- !Join
- ''
- - 'arn:aws:iam::'
- !Ref AdditionalAccount2
- ':role/'
- !Ref SecurityRolePrefix
Action: "kms:GenerateDataKey*"
Resource: '*'
【问题讨论】:
标签: amazon-web-services amazon-cloudformation amazon-iam aws-kms