AWS CloudFormation模板

Question

我试图了解以下政策

 Policies:
    - PolicyName: InstanceIAMPolicy
      PolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Action:
              - 'ssm:DescribeAssociation'
              - 'ssm:GetDeployablePatchSnapshotForInstance'
              - 'ssm:GetDocument'
              - 'ssm:GetManifest'
              - 'ssm:GetParameters'
              - 'ssm:ListInstanceAssociations'
              - 'ssm:PutComplianceItems'
              - 'ssm:PutConfigurePackageResult'
              - 'ssm:UpdateAssociationStatus'
              - 'ssm:UpdateInstanceAssociationStatus'
              - 'ssm:UpdateInstanceInformation'
            Resource: '*'
            Effect: Allow
            Action:
              - 'ec2messages:AcknowledgeMessage'
              - 'ec2messages:FailMessage'
              - 'ec2messages:GetEndpoint'
              - 'ec2messages:GetMessages'
              - 'ec2messages:SendReply'
            Resource: '*'

我的问题与提到为*的资源参数有关。 这是否意味着可以在您的AWS基础设施内的任何资源上执行操作？ 我真的是CloudFormation模板和AWS的新手。 谢谢你的帮助。

Answer 1

简短的回答是“是”。

在模板中，“语句”下有两个部分。 每个部分都定义“允许”操作。 对于每个部分，您都“允许”所有资源的API。 第一部分用于SSM，第二部分用于SSM EC2Messages。

注意：根据允许动作，您可以将这两个部分合并在一起。

此链接将帮助您使用CloudFormation模板：

使用AWS CloudFormation模板

Answer 2

您问题中的CloudFormation模板正在创建IAM策略。 您的问题实际上是关于IAM策略中通配符的工作方式。 IAM策略“ Resource元素中的* 通配符表示，应用了此IAM策略的某些对象可以对您AWS账户中的任何资源执行列出的操作。

该策略似乎是您将应用于EC2实例配置文件以允许AWS SSM代理在该EC2实例上执行任何SSM任务的策略。 由于资源被指定为*通配符，因此SSM代理可以例如下载您发送的任何SSM文档（ ssm:GetDocument ）。 基本上，这使SSM代理能够在EC2实例上正常工作，而无需您在以后每次触发它时都授予它对您需要执行的每件事的特定访问权限。