Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Saat membuat, memperbarui, dan menghapus CloudFormation tumpukan, pengguna dapat menentukan peran secara opsional. IAM ARN Jika tidak ada peran yang disediakan, CloudFormation gunakan mekanisme layanan defaultnya untuk berinteraksi dengan AWS layanan lain. Dalam skenario ini, penelepon harus memiliki izin yang diperlukan untuk sumber daya yang dikelola. Atau, ketika pengguna memasok IAM peran mereka sendiri, CloudFormation akan mengambil peran itu untuk melakukan interaksi layanan atas nama mereka.
Terlepas dari apakah pengguna menyediakan IAM peran, CloudFormation menghasilkan FAS token cakupan bawah baru untuk setiap operasi sumber daya. Akibatnya, kunci kondisi FAS terkait, termasukaws:ViaAWSService, diisi di kedua skenario.
Penggunaan FAS mempengaruhi bagaimana IAM kebijakan dievaluasi selama CloudFormation operasi. Saat membuat tumpukan dengan templat yang menyertakan sumber daya yang dipengaruhi oleh kunci kondisi FAS terkait -, penolakan izin dapat terjadi.
Contoh IAM kebijakan
Pertimbangkan IAM kebijakan berikut. Statement2akan secara konsisten mencegah penciptaan sumber AWS::KMS::Key daya di CloudFormation. Pembatasan akan diberlakukan secara konsisten, terlepas dari apakah IAM peran diberikan selama operasi tumpukan atau tidak. Ini karena kunci aws:ViaAWSService kondisi selalu disetel true karena penggunaanFAS.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"*"
],
"Resource": [
"*"
]
},
{
"Sid": "Statement2",
"Effect": "Deny",
"Action": [
"kms:CreateKey"
],
"Resource": [
"*"
],
"Condition": {
"Bool": {
"aws:ViaAWSService": "true"
}
}
}
]
}Contoh template tumpukan
Misalnya, saat pengguna membuat tumpukan dengan templat contoh berikut, aws:ViaAWSService disetel ketrue, dan izin peran akan diganti oleh kebijakan. FAS Pembuatan tumpukan akan dipengaruhi oleh Statement2 IAM kebijakan, yang menyangkal CreateKey tindakan tersebut. Ini menghasilkan kesalahan izin ditolak.
Resources:
myPrimaryKey:
Type: AWS::KMS::Key
Properties:
Description: An example multi-Region primary key
KeyPolicy:
Version: '2012-10-17'
Id: key-default-1
Statement:
- Sid: Enable IAM User Permissions
Effect: Allow
Principal:
AWS: !Join
- ''
- - 'arn:aws:iam::'
- !Ref AWS::AccountId
- ':root'
Action: kms:*
Resource: '*'Untuk informasi selengkapnyaFAS, lihat Meneruskan sesi akses di Panduan IAM Pengguna.
catatan
Sebagian besar sumber daya mematuhi perilaku ini. Namun, jika Anda mengalami keberhasilan atau kegagalan yang tidak terduga saat membuat, memperbarui, atau menghapus sumber daya, dan IAM kebijakan Anda menyertakan kunci kondisi FAS terkait -, kemungkinan sumber daya tersebut milik sebagian kecil sumber daya yang tidak mengikuti pola standar ini.
