cloudfromation에있는 모든 사용자에게 어떤 정책을 첨부 할 수있는 방법이 있습니까? aws js를 통해 스택을 만들 때 Principal을 가진 스택 정책 문서를 "*"
으로 전달할 수 있습니다. 그러나 cloudformation 템플릿 내에 AWS :: IAM :: Policy를 만들면 역할, 사용자 또는 그룹을 제공해야하며 "*"
이 작동하지 않습니다. 또는 중첩 스택에 정책 문서를 첨부하려면 어떻게해야합니까?AWS :: IAM :: 모든 사용자를위한 정책
답변
중첩 된 CloudFormation 스택은 상위 스택과 동일한 스택 정책 문서를 사용합니다. 스택 문서는 스택 스택을 만들거나 업데이트 할 때 AWS Console 또는 API를 통해 지정합니다 (예 : 언급 한 것처럼 AWS SDK for JS 사용). documented으로 스택 정책 문서의 경우 Principal
요소가 필요하지만 와일드 카드 (*
) 만 지원합니다.
문서에 Prevent Updates to Nested Stacks 예에 설명 된대로 추가, ResourceType
이 AWS::CloudFormation::Stack
동일 Condition
로 문을 추가하여 중첩 된 스택에 대한 작업을 제한 할 수 있습니다
{
"Statement" : [
{
"Effect" : "Deny",
"Action" : "Update:*",
"Principal": "*",
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"ResourceType" : ["AWS::CloudFormation::Stack"]
}
}
},
{
"Effect" : "Allow",
"Action" : "Update:*",
"Principal": "*",
"Resource" : "*"
}
]
}
AWS::IAM::Policy
자원이 특정 use- 관련이 중첩 스택에 대한 정책을 지정했지만 참조 용으로 AWS::IAM::Policy
은 사용자 또는 그룹에 첨부하는 정책을 만듭니다.이 정책은 설명서에 설명 된대로 Principal
요소를 지정할 수 없습니다.
IAM 사용자 및 그룹에 첨부하는 정책에서 Principal 요소를 사용하지 마십시오. 마찬가지로 IAM 역할에 대한 액세스 정책에 주체를 지정하지 않습니다. 이 경우 보안 주체는 정책이 (IAM 사용자의 경우) 또는 역할을 맡은 사용자 (역할 액세스 정책의 경우)에 첨부 된 사용자입니다. 정책이 IAM 그룹에 연결되면 주체는 요청을하는 해당 그룹의 IAM 사용자입니다.
내가하는 일은 동일한 (또는 다른) 계정에 대한 신뢰 관계 정책입니다. 그것은 루트를 말하지만 사실은 전체 계정에 적용됩니다 :
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123ACCNO4567:root"
},
"Action": "sts:AssumeRole",
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "true"
}
}
}
]
}
- 1. AWS S3 IAM 정책 다중 버킷
- 2. AWS 하나 이상의 버킷에 대한 IAM 정책
- 3. AWS S3 인증 된 사용자를위한 정책
- 4. AWS IAM 사용자가 특정 정책/역할이있는 IAM 사용자를 만들 수 있도록 허용하는 정책
- 5. AWS IAM - 조건부 사용
- 6. AWS IAM
- 7. IAM 사용자를위한 IPv6 CIDR 편집 권한
- 8. AWS IAM 사용자가 관리 콘솔 및 AWS CLI에서 IAM 역할을 만들 수 있도록 허용하는 정책
- 9. AWS EC2 IAM 조건
- 10. AWS IAM - SWF 도메인에 대한 읽기 전용 액세스 정책
- 11. 최소 권한 AWS 클라우드 정보 용 IAM 정책
- 12. AWS 이스케이프 처리 API 게이트웨이 권한을위한 IAM 정책 변수
- 13. AWS 특정 SQS 대기열에 대한 액세스를 제한하는 IAM 사용자 정책
- 14. s3 버킷 용 Iam 정책
- 15. AWS IAM : 나는 질문이 루트에서 IAM
- 16. AWS IAM 액세스 관리
- 17. AWS 클라우드 정보 템플릿 도움말 (IAM)
- 18. AWS IAM : EC2 인스턴스 자체가 중지되도록 허용
- 19. Amazon 별칭이 부여 된 키에만 액세스 권한을 부여하는 IAM 정책
- 20. boto3 iam client : 이름으로 정책 가져 오기
- 21. AWS 서비스 제한 (정책)
- 22. AWS S3 버킷 정책
- 23. aws 기본 IAM 역할이 삭제됨
- 24. AWS 서명의 IAM 사용자 ID?
- 25. AWS의 하위 그룹에 대한 IAM 정책
- 26. AWS SNS 정책 IP 주소 액세스
- 27. 스냅 샷 만 생성하기위한 AWS 정책
- 28. AWS S3 버킷 정책 잘못된 그룹 주요
- 29. IAM 인증 (NodeJS)
- 30. IAM 사용자가 EC2 인스턴스를 특정 VPC로 시작하지 못하도록 차단하는 정책
저는 혼란 스럽습니다. 중첩 된 클라우드 정보 스택에 스택 업데이트 정책을 적용하는 방법에 대해 묻고 있습니까? 아니면 IAM uasers에 적용되는 정책을 클라우드 정보로 만들려고합니까? –
중첩 스택 생성 후 aws js sdk를 통해 업데이트 정책을 첨부하여이 문제를 해결했습니다. – ne1s