僅通過刪除 CloudFormation 堆棧來允許刪除 AWS 資源
[英]Allow AWS resources deletion only by delete CloudFormation stack
問題描述
請幫忙解決這個案例:
有一個 CF 堆棧可以創建一些 AWS 資源(由管理員帳戶創建)。 有一個 AWS 用戶(高級用戶)允許刪除 CF 堆棧。
我的目標:
允許用戶通過 CF 堆棧刪除來刪除 CF 堆棧和所有創建的資源。 拒絕用戶從資源控制台刪除(和修改)資源。
問題:
如果用戶只有 cloudformation:DeleteStack 權限,他只能發起刪除,因為他沒有資源刪除權限(例如 lambda:DeleteFunction) 如果他有這些權限,他可以從資源控制台刪除資源(例如 Lambda控制台),而不僅僅是通過 CF 堆棧刪除。
有任何想法嗎?
1 個解決方案
解決方案1
0 2021-11-04 11:59:45
CloudFormation 可以承擔一個角色來完成它的工作: https : //docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html
因此,創建一個具有部署堆棧所需的所有權限的角色,並確保它只能由 CloudFormation 承擔。 然后授予該用戶創建和刪除堆棧的權限,以及列出角色和執行創建/刪除所需的任何其他內容(您必須嘗試一下,因為某些所需的權限並不明顯) .
如何將 AWS 資源轉換為 cloudformation 堆棧或模板?
[英]How to convert AWS resources to a cloudformation stack or template?
將Cloudformation權限僅授予屬於堆棧的資源
[英]Grant Cloudformation permissions to only resources that are part of the stack
AWS IAM 策略僅允許對具有特定標簽的資源執行角色刪除操作
[英]AWS IAM Policy to allow Role deletion actions only on resources with specific tag
如何為 AWS CloudFormation 堆棧和資源實施特定於區域的配置
[英]How to implement region specific configuration for AWS CloudFormation stack and resources
AWS CloudFormation 堆棧中資源之間的權限和堆棧獨立性
[英]Permission between resources in AWS CloudFormation stacks and stack independence
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
AWS CloudFormation刪除資源
如何保護AWS CloudFormation堆棧不被刪除?
AWS 刪除 CloudFormation 堆棧的權限
將現有 AWS 資源合並到 CloudFormation 堆棧中
如何將 AWS 資源轉換為 cloudformation 堆棧或模板?
將Cloudformation權限僅授予屬於堆棧的資源
AWS IAM 策略僅允許對具有特定標簽的資源執行角色刪除操作
在“aws cloudformation delete-stack”中指定區域
如何為 AWS CloudFormation 堆棧和資源實施特定於區域的配置
AWS CloudFormation 堆棧中資源之間的權限和堆棧獨立性
相關標簽