Cloudformation 기존 정책을 참조하는 새로운 역할을 만들 수 있습니까?

10

현재 다른 인스턴스의 특정 키 경로 (예 : 폴더)에 대한 특정 액세스 권한이있는 공유 S3 버킷이 있습니다. 새 역할로 인스턴스 프로파일을 생성하고 해당 폴더에 대한 액세스 제한 문제를 테스트 할 수 없었습니다.

내 문제는 정의 된 정책이있는 기존의 일반 역할이 있으며 각 스택에 대한 새 역할에 포함시킬 수 있다는 것입니다.

클라우드 형성에서 새로운 역할에 정책 문서를 재정의하지 않고도 한 역할에 정의 된 정책을 다른 역할에 포함시킬 수 있습니까?

다음과 같은 것 :

"AppTierS3AccessRole": {
        "Type": "AWS::IAM::Role",
        "Properties": {
            "AssumeRolePolicyDocument": {
                "Statement": [
                    {
                        "Effect": "Allow",
                        "Principal": {
                            "Service": [ "ec2.amazonaws.com" ]
                        },
                        "Action": [ "sts:AssumeRole" ]
                    }
                ]
            },
            "Path": "/",
            "Policies": [ { "Ref": "existing-policy" } ]
        }
    },

"기존 정책"은 여기서 중요한 부분입니다. 나는 시도하고 참조하기 위해 기존 정책의 비결을 찾으려고했지만 조금 붙어 있습니다.

amazon-cloudformation  amazon-iam 
휴맥 마누스
소스
인스턴스 프로필에 여러 역할을 추가하여 동일한 솔루션을 완료 할 수도 있지만, 내가 읽은 내용에서 인스턴스 프로필 당 하나의 역할 만 지정할 수 있다는 제한이 있습니다.
hughmcmanus

답변:

12

src : https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-iam-role.html

AWS::IAM::Role유형은 지금이 ManagedPolicyArns당신이 설정할 수 있습니다 필드. ARN (IAM 콘솔에서 쉽게 잡을 수 있음)을 잡고 해당 필드에 배치하면됩니다. 아래 예에서는 이미지가 ECR에서 도커 컨테이너를 가져올 수 있도록 읽기 전용 ECR 액세스를 제공하는 역할을 만들었습니다.

  ecrRole:
    Type: AWS::IAM::Role
    Properties:
      Path: "/"
      ManagedPolicyArns:
        - "arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly"
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
        - Effect: Allow
          Principal:
            Service:
            - ec2.amazonaws.com
          Action:
          - sts:AssumeRole
존 에이 켄 베리
소스
4

관리 형 정책 을 사용하여이를 달성 할 수 있습니다 . 공유하려는 정의 된 정책을 고객 관리 형 정책에 넣은 다음 해당 정의 된 정책을 사용하려는 각 역할에 연결하십시오. 관리 형 정책에 대한 향후 변경 사항은 관리 형 정책이 연결된 모든 역할에 즉시 적용됩니다.

AWS :: IAM :: ManagedPolicy 리소스를 통해 CloudFormation에서 고객 관리 형 정책을 생성 하거나 기존 관리 형 정책을 첨부 할 수 있습니다.

Markusk
소스
3
Cloudformation에서 방법을 보여줄 수 있습니까?
lony
1

@markusk의 답변을 다시 확장하려면 관리 형 정책-그렇습니다.

예:

"ManagedPolicy": {
  "Type": "AWS::IAM::ManagedPolicy",
  "Properties": {
    "Description": "something descriptive",
    "Groups": [ ... ref(s) for groups ... ],
    "Roles: [{"Ref":"AppTierS3AccessRole"}],
    "Users": [ ... ref(s) for users ... ],
    "PolicyDocument": {
      "Version": "2012-10-17",
      "Statement": [
        ...
      ]
    }
  }
}
피터 ounce 스
소스
-1

아니요, 현재 한 역할을 다른 역할에 포함시킬 수 없습니다. 내가 생각할 수있는 유일한 대안은 다음과 같습니다.

  • AWS :: IAM :: InstanceProfile을 사용하여 새 인스턴스 프로파일을 생성 하고 기존 일반 역할을 할당하십시오.
  • CloudFormation 스택을 생성하기 전에 일반 역할을 복제하는 스크립트를 실행하십시오. 예를 들어 새 역할을 생성하고 기존 일반 역할에 대한 모든 정책을 나열한 다음 새 역할에서 다시 생성합니다. 그런 다음 템플릿 의 새 AWS :: IAM :: InstanceProfile 리소스에 새 역할을 할당하고 EC2 인스턴스 또는 시작 구성에 사용할 수 있습니다.
Dialt0ne
소스
나는 당신의 두 번째 제안과 비슷한 것을 끝내 었습니다. 일반 역할의 정책을 cloudformation 템플릿으로 이동 한 다음 필요한 경우 새 역할에 추가했습니다.
hughmcmanus
이 답변은 기록 될 때 정확했지만 AWS는 그 이후로 관리 형 정책 을 도입 하여 정책 을 재사용 할 수있게되었으므로 더 깁니다 .
markusk
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.