仅通过删除 CloudFormation 堆栈来允许删除 AWS 资源
[英]Allow AWS resources deletion only by delete CloudFormation stack
问题描述
请帮忙解决这个案例:
有一个 CF 堆栈可以创建一些 AWS 资源(由管理员帐户创建)。 有一个 AWS 用户(高级用户)允许删除 CF 堆栈。
我的目标:
允许用户通过 CF 堆栈删除来删除 CF 堆栈和所有创建的资源。 拒绝用户从资源控制台删除(和修改)资源。
问题:
如果用户只有 cloudformation:DeleteStack 权限,他只能发起删除,因为他没有资源删除权限(例如 lambda:DeleteFunction) 如果他有这些权限,他可以从资源控制台删除资源(例如 Lambda控制台),而不仅仅是通过 CF 堆栈删除。
有任何想法吗?
1 个解决方案
解决方案1
0 2021-11-04 11:59:45
CloudFormation 可以承担一个角色来完成它的工作: https : //docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html
因此,创建一个具有部署堆栈所需的所有权限的角色,并确保它只能由 CloudFormation 承担。 然后授予该用户创建和删除堆栈的权限,以及列出角色和执行创建/删除所需的任何其他内容(您必须尝试一下,因为某些所需的权限并不明显) .
如何将 AWS 资源转换为 cloudformation 堆栈或模板?
[英]How to convert AWS resources to a cloudformation stack or template?
将Cloudformation权限仅授予属于堆栈的资源
[英]Grant Cloudformation permissions to only resources that are part of the stack
AWS IAM 策略仅允许对具有特定标签的资源执行角色删除操作
[英]AWS IAM Policy to allow Role deletion actions only on resources with specific tag
如何为 AWS CloudFormation 堆栈和资源实施特定于区域的配置
[英]How to implement region specific configuration for AWS CloudFormation stack and resources
AWS CloudFormation 堆栈中资源之间的权限和堆栈独立性
[英]Permission between resources in AWS CloudFormation stacks and stack independence
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
AWS CloudFormation删除资源
如何保护AWS CloudFormation堆栈不被删除?
AWS 删除 CloudFormation 堆栈的权限
将现有 AWS 资源合并到 CloudFormation 堆栈中
如何将 AWS 资源转换为 cloudformation 堆栈或模板?
将Cloudformation权限仅授予属于堆栈的资源
AWS IAM 策略仅允许对具有特定标签的资源执行角色删除操作
在“aws cloudformation delete-stack”中指定区域
如何为 AWS CloudFormation 堆栈和资源实施特定于区域的配置
AWS CloudFormation 堆栈中资源之间的权限和堆栈独立性
相关标签