堆棧內存溢出
  簡體   English   中英

Cloudformation模板為SQS創建角色

[英]Cloudformation template to create a role for SQS

 原文  2017-01-02 17:13:13       amazon-web-services/ amazon-sqs/ amazon-cloudformation

問題描述

我正在嘗試使用cloudformation模板創建具有嵌入式策略的角色: 

{
"AWSTemplateFormatVersion": "2010-09-09",
"Resources": {
  "SQSRole": {
     "Type": "AWS::IAM::Role",
     "Properties": {
        "AssumeRolePolicyDocument": {
           "Version" : "2012-10-17",
           "Statement": [ {
              "Effect": "Allow",
              "Principal": {
                 "Service": [ "sqs.amazonaws.com" ]
              },
              "Action": [
                    "SQS:SendMessage",
                    "SQS:ReceiveMessage",
                    "SQS:DeleteMessage",
                    "SQS:GetQueueUrl"
                ]
           } ]
        },
        "Path": "/"
        }
  },
  "RootInstanceProfile": {
     "Type": "AWS::IAM::InstanceProfile",
     "Properties": {
        "Path": "/",
        "Roles": [ {
           "Ref": "SQSRole"
        } ]
     }
  }
}
}

它給出錯誤“策略中的無效主體:“ SERVICE”:“ sqs.amazonaws.com”。

我還嘗試通過替換SQS隊列的確切URL:“ SERVICE”:“ sqs.ap-south-1.amazonaws.com/710161973367/CFI-Trace”

仍然給出相同的錯誤。 不確定要為sqs指定什么服務。

1 個解決方案

解決方案1
 1  2017-01-02 18:36:26

如果嘗試創建要由EC2實例承擔的IAM角色,則應改用以下方法: 

{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Resources": {
    "SQSRole": {
      "Type": "AWS::IAM::Role",
      "Properties": {
        "AssumeRolePolicyDocument": {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Effect": "Allow",
              "Principal": {
                "Service": [
                  "ec2.amazonaws.com"
                ]
              },
              "Action": [
                "sts:AssumeRole"
              ]
            }
          ]
        },
        "Path": "/",
        "Policies": [
          {
            "PolicyName": "SqsAccess",
            "PolicyDocument": {
              "Version": "2012-10-17",
              "Statement": [
                {
                  "Sid": "1",
                  "Effect": "Allow",
                  "Action": [
                    "SQS:SendMessage",
                    "SQS:ReceiveMessage",
                    "SQS:DeleteMessage",
                    "SQS:GetQueueUrl"
                  ],
                  "Resource": [
                    "*"
                  ]
                }
              ]
            }
          }
        ]
      }
    },
    "RootInstanceProfile": {
      "Type": "AWS::IAM::InstanceProfile",
      "Properties": {
        "Path": "/",
        "Roles": [
          {
            "Ref": "SQSRole"
          }
        ]
      }
    }
  }
}

請注意,現在將擔當您IAM角色的服務是ec2.amazonaws.com 而且,現在僅允許EC2服務承擔您的IAM角色(通過sts:AssumeRole )。 最后,您所有的sqs:*操作已移至IAM角色的“ Policies屬性中。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 用於創建多個 SQS 的 Cloudformation 模板 如何在 aws cloudformation 模板中限制特定於 SQS 的 IAM 角色 aws cloudformation 模板 sns sqs CloudFormation - 無法創建 SQS 策略 創建一個服務目錄,我在 cloudformation 模板中扮演角色 如何在Cloudformation模板參數中創建IAM角色下拉列表 在 CloudFormation 模板中使用現有角色 在 Cloudformation 模板中引用動態角色名稱 我可以使用現有的AWS IAM角色通過Cloudformation模板創建S3存儲桶嗎? AWS Cloudformation:模板驗證錯誤角色和策略
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM