amazon-web-services – Determinar los requisitos de IAM para Cloudformation Stack

Pregunta:

Actualmente estoy desarrollando y lanzando una pila de formación en la nube relativamente simple. Solo algunas cosas simples de RDS, activadas a través de un servicio de CD CI + externo.

Sin embargo, mi ciclo actual de desarrollo es increíblemente ineficiente, simplemente porque no entiendo cuáles deben ser los permisos de IAM para el grupo de IAM de integración continua que configuré.

Intentaré ejecutar la implementación de la plantilla de Cloudformation, solo para obtener algún error al configurar algo y comenzar una reversión. Entonces, la reversión fallará, porque requiere un permiso diferente para eliminar lo que ha logrado crear hasta el momento. Agrego los dos nuevos permisos que he descubierto, elimino la pila porque está en el estado ROLLBACK_FAILED y lo intento de nuevo.

Puedo usar comodines en todos los permisos para todos los servicios que necesito, pero esa no puede ser la mejor práctica cuando se entregan algunas credenciales de AWS a un servicio externo.

Debido a esto. ¿Hay alguna manera de saber qué permisos de IAM necesito configurar específicamente en función de una plantilla de formación en la nube? Alternativamente, ¿hay alguna lista de permisos de IAM esperados para cada recurso de Cloudformation? ¿Estoy siendo demasiado pedante al intentar limitar tantos permisos como sea posible? ¿O estoy condenado para siempre a esta prueba de ajuste de permisos de IAM?

Respuesta:

Hay una solución para esto que me encanta. Está:

  1. Inicie sesión con un usuario de prueba específico
  2. Cree los recursos manualmente desde la consola usando este usuario
  3. Vaya a CloudTrail y observe el historial de eventos y observe los valores de `eventName.

Este eventName corresponde exactamente a los nombres de las llamadas a la API de boto3 y a Action en las políticas de IAM para el permiso relacionado. Por lo tanto, sabría todos los pasos que deben realizarse para crear un tipo específico de recurso.

A continuación, solo necesita recordar y comprender las acciones de CloudFormation en sí y eso es todo.

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım