【发布时间】:2021-02-14 03:51:20
【问题描述】:
我有一个 cloudformation 堆栈,可以导出这个角色并附加一些策略:
CodeBuildRole:
Type: AWS::IAM::Role
Properties:
RoleName: codebuild-role
AssumeRolePolicyDocument:
Statement:
- Action: ['sts:AssumeRole']
Effect: Allow
Principal:
Service:
- codebuild.amazonaws.com
- codepipeline.amazonaws.com
Version: '2012-10-17'
Path: /
Policies:
- etc....
导出的角色名称是 cb-remove-role-id,然后我尝试将其导入另一个堆栈,以供代码管道中的另一个代码构建项目使用
BuildProjectUK:
Type: AWS::CodeBuild::Project
Properties:
Name: !Sub ${ResourceContext}-build-uk
Description: UK build and deploy
ServiceRole: !ImportValue cb-remove-role-id
BadgeEnabled: false
Artifacts:
Type: CODEPIPELINE
Environment:
etc...
当尝试更新后一个堆栈的模板时,我收到此错误:
调用 UpdateProject 失败,原因:CodeBuild 无权执行:sts:AssumeRole on arn:aws:iam::xxxxxxxxx:role/xxxxxxxxx(服务:AWSCodeBuild;状态代码:400;错误代码:InvalidInputException;请求 ID : xxxxxxxxxxxxxxxx; 代理: null)
任何想法为什么会这样或者我可以如何解决这个问题?
谢谢
【问题讨论】:
-
如何导出
cb-remove-role-id?您是导出其名称还是完整的 ARN? -
@MArcin 按名称:CodeBuildRemoveRoleId:值:!GetAtt CodeBuildRole.RoleId 导出:名称:cb-remove-role-id
-
您可以尝试使用 ARN 吗? ServiceRole 的文档说它应该是 ARN,而不是角色 ID。
标签: amazon-web-services amazon-cloudformation amazon-iam assume-role