[英]Allow AWS resources deletion only by delete CloudFormation stack
請幫忙解決這個案例:
有一個 CF 堆棧可以創建一些 AWS 資源(由管理員帳戶創建)。 有一個 AWS 用戶(高級用戶)允許刪除 CF 堆棧。
我的目標:
允許用戶通過 CF 堆棧刪除來刪除 CF 堆棧和所有創建的資源。 拒絕用戶從資源控制台刪除(和修改)資源。
問題:
如果用戶只有 cloudformation:DeleteStack 權限,他只能發起刪除,因為他沒有資源刪除權限(例如 lambda:DeleteFunction) 如果他有這些權限,他可以從資源控制台刪除資源(例如 Lambda控制台),而不僅僅是通過 CF 堆棧刪除。
有任何想法嗎?
CloudFormation 可以承擔一個角色來完成它的工作: https : //docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html
因此,創建一個具有部署堆棧所需的所有權限的角色,並確保它只能由 CloudFormation 承擔。 然后授予該用戶創建和刪除堆棧的權限,以及列出角色和執行創建/刪除所需的任何其他內容(您必須嘗試一下,因為某些所需的權限並不明顯) .
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.