AWS CloudFormation模板

Question

我試圖了解以下政策

 Policies:
    - PolicyName: InstanceIAMPolicy
      PolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Action:
              - 'ssm:DescribeAssociation'
              - 'ssm:GetDeployablePatchSnapshotForInstance'
              - 'ssm:GetDocument'
              - 'ssm:GetManifest'
              - 'ssm:GetParameters'
              - 'ssm:ListInstanceAssociations'
              - 'ssm:PutComplianceItems'
              - 'ssm:PutConfigurePackageResult'
              - 'ssm:UpdateAssociationStatus'
              - 'ssm:UpdateInstanceAssociationStatus'
              - 'ssm:UpdateInstanceInformation'
            Resource: '*'
            Effect: Allow
            Action:
              - 'ec2messages:AcknowledgeMessage'
              - 'ec2messages:FailMessage'
              - 'ec2messages:GetEndpoint'
              - 'ec2messages:GetMessages'
              - 'ec2messages:SendReply'
            Resource: '*'

我的問題與提到為*的資源參數有關。 這是否意味着可以在您的AWS基礎設施內的任何資源上執行操作？ 我真的是CloudFormation模板和AWS的新手。 謝謝你的幫助。

Answer 1

簡短的回答是“是”。

在模板中，“語句”下有兩個部分。 每個部分都定義“允許”操作。 對於每個部分，您都“允許”所有資源的API。 第一部分用於SSM，第二部分用於SSM EC2Messages。

注意：根據允許動作，您可以將這兩個部分合並在一起。

此鏈接將幫助您使用CloudFormation模板：

使用AWS CloudFormation模板

Answer 2

您問題中的CloudFormation模板正在創建IAM策略。 您的問題實際上是關於IAM策略中通配符的工作方式。 IAM策略“ Resource元素中的* 通配符表示，應用了此IAM策略的某些對象可以對您AWS賬戶中的任何資源執行列出的操作。

該策略似乎是您將應用於EC2實例配置文件以允許AWS SSM代理在該EC2實例上執行任何SSM任務的策略。 由於資源被指定為*通配符，因此SSM代理可以例如下載您發送的任何SSM文檔（ ssm:GetDocument ）。 基本上，這使SSM代理能夠在EC2實例上正常工作，而無需您在以后每次觸發它時都授予它對您需要執行的每件事的特定訪問權限。