如何在 AWS 中定义只允许使用预定义模板创建堆栈的 policy/role/permission
How to define a policy/role/permission in AWS which only allows to create stack with a predefined template
有没有办法在 AWS 中定义 permission/policy/role,它允许仅使用特定模板(在 S3 上更新)创建 CloudFormation 堆栈?
我看过 AWS Service Roles 但我认为这不是我要找的。事实上,我看不出使用它有什么好处(就安全性而言)。如果一个用户不能直接创建资源,但同一个用户可以通过 CloudFormation 创建资源,这有什么好处?
但是,如果有一种方法可以限制可以使用它的模板,它会增加安全性方面的好处,因为您可以定义可以创建哪些资源,而无需特定角色定义权限许可 Stack 的所有资源。
你应该看看 service catalog。
通过使用此服务,您可以定义和连接可用于生成 CloudFormation 堆栈的模板,而无需授予团队成员创建 CloudFormation 堆栈的权限。
如果没有这个,就没有直接的解决方案来限制仅从特定来源访问 CloudFormation 创建。
有没有办法在 AWS 中定义 permission/policy/role,它允许仅使用特定模板(在 S3 上更新)创建 CloudFormation 堆栈?
我看过 AWS Service Roles 但我认为这不是我要找的。事实上,我看不出使用它有什么好处(就安全性而言)。如果一个用户不能直接创建资源,但同一个用户可以通过 CloudFormation 创建资源,这有什么好处?
但是,如果有一种方法可以限制可以使用它的模板,它会增加安全性方面的好处,因为您可以定义可以创建哪些资源,而无需特定角色定义权限许可 Stack 的所有资源。
你应该看看 service catalog。
通过使用此服务,您可以定义和连接可用于生成 CloudFormation 堆栈的模板,而无需授予团队成员创建 CloudFormation 堆栈的权限。
如果没有这个,就没有直接的解决方案来限制仅从特定来源访问 CloudFormation 创建。