堆棧內存溢出
  簡體   English   中英

AWS CDK - 角色和策略創建

[英]AWS CDK - role and policy creation

 原文  2020-05-29 21:20:24       amazon-web-services/ amazon-cloudformation/ aws-cdk

問題描述

如何將此 CloudFormation 轉換為 CDK(JavaScript 或 Java)? 我試圖這樣做,但這是我第一次使用 CDK,我不知道該怎么做。

FargateTaskExecutionServiceRole:
Type: AWS::IAM::Role
Properties:
  AssumeRolePolicyDocument:
    Statement:
    - Effect: Allow
      Principal:
        Service: 
          - ecs-tasks.amazonaws.com
      Action:
        - sts:AssumeRole
  Policies:
    - PolicyName: AmazonECSTaskExecutionRolePolicy
      PolicyDocument:
        Version: "2012-10-17"
        Statement:
        - Effect: Allow
          Action:
            - 'ecr:GetAuthorizationToken'
            - 'ecr:BatchCheckLayerAvailability'
            - 'ecr:GetDownloadUrlForLayer'
            - 'ecr:BatchGetImage'
            - 'logs:CreateLogStream'
            - 'logs:PutLogEvents'
          Resource: '*'

1 個解決方案

解決方案1
 17 已采納  2020-05-29 21:42:35

您應該參考API 參考文檔以獲得清晰的圖像。 有此類用例的示例。

然而,既然你已經在這里問過了,我的手一直很癢,想給你一個答案,所以這里只是 IAM 部分的 TypeScript 實現:

import { 
   ManagedPolicy, 
   Role, 
   ServicePrincipal, 
   PolicyStatement, 
   Effect 
} from '@aws-cdk/aws-iam';

....
....

const ecsFargateServiceRole = new Role(this, 'FargateTaskExecutionServiceRole', {
  assumedBy: new ServicePrincipal('ecs-tasks.amazonaws.com')
});

// Add a policy to a Role
ecsFargateServiceRole.addToPolicy(
  new PolicyStatement({
    effect: Effect.ALLOW,
    resources: ['*'],
    actions: [            
      'ecr:GetAuthorizationToken',
      'ecr:BatchCheckLayerAvailability',
      'ecr:GetDownloadUrlForLayer',
      'ecr:BatchGetImage',
      'logs:CreateLogStream',
      'logs:PutLogEvents'
    ]
  })
);

// Add a managed policy to a role you can use
ecsFargateServiceRole.addManagedPolicy(
    ManagedPolicy.fromAwsManagedPolicyName('AmazonECSTaskExecutionRolePolicy')
);

....
....

更新:

當您將 AWS 托管策略添加到角色時,您可以通過其名稱ARN獲取托管策略作為參考。 重要的部分是,如果 AWS Managed 策略按其名稱或 ARN 如上所述使用,則您無需顯式使用策略語句。 根據我上面的回答,您可以使用托管策略方法而不是使用策略聲明。

現在定義角色的一種簡單方法是:

const ecsFargateServiceRole = new Role(this, 'FargateTaskExecutionServiceRole', {
  assumedBy: new ServicePrincipal('ecs-tasks.amazonaws.com'),
  managedPolicies: [
    ManagedPolicy.fromAwsManagedPolicyName('AmazonECSTaskExecutionRolePolicy')
  ]
});

請注意,為簡潔起見,我已經排除了 Construct 的構造函數。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 AWS CDK:如何通過名稱獲取已創建角色或策略的“Arn” AWS Python CDK - 關於策略創建的賬戶特定資源 使用 cdk 添加托管策略 aws AWS CDK 使用角色部署 AWS CDK 自定義資源創建 AWS CDK - 安全組創建 Typescript AWS 管理員角色政策 使用 CDK 為 AWS Lambda 提供 AWS 托管策略 使用 AWS CDK 將現有角色附加到 AWS Lambda AWS CDK 如何在 IAM 策略中包含委托人?
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM