堆棧內存溢出
  簡體   English   中英

Cloudformation:替換 map 鍵中的變量

[英]Cloudformation: substitute variable in map key

 原文  2023-01-05 04:02:27       amazon-cloudformation

問題描述

我有一個這樣定義的角色:

AWSTemplateFormatVersion: "2010-09-09"


Parameters:
  AWSAccountId:
    Type: String

  OidcProvider:
    Type: String

  AppNamespace:
    Type: String
 
 AppServiceAccountName:
    Type: String


Resources:
  CloudWatchRole:
    Type: "AWS::IAM::Role"
    Properties:
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
          -
            Effect: "Allow"
            Principal:
              Federated:
                - !Join ["", [ "arn:aws:iam::", !Ref AWSAccountId, ":oidc-provider/", !Ref OidcProvider ] ]
            Action:
              - "sts:AssumeRoleWithWebIdentity"
            Condition:
              StringEquals:
                !Sub ${OidcProvider}:sub: "system:serviceaccount:${AppNamespace}:${AppServiceAccountName}"

我的挑戰是如何替換 StringEquals 部分中的參數。 一切都在 Federated 塊中工作。 但是在 StringEquals 塊中,我無法讓 join 或 sub 工作。

按原樣使用代碼,我收到錯誤消息:

An error occurred (ValidationError) when calling the CreateStack operation: 
Template format error[/Resources/CloudWatchRole/Properties/AssumeRolePolicyDocument/
Statement/0/Condition/StringEquals] map keys must be strings; received a map instead

所以,我想我的問題是如何替換 map 的鍵中的變量。UserData 也沒有幫助。

1 個解決方案

解決方案1
 1 已采納  2023-01-05 11:16:44

您的問題出在Federated而不是StringEquals上。 Federated值需要是string ,但您將其定義為Map 請在!Join之前刪除-

AWSTemplateFormatVersion: "2010-09-09"

Parameters:
  AWSAccountId:
    Type: String
  OidcProvider:
    Type: String
  AppNamespace:
    Type: String
  AppServiceAccountName:
    Type: String

Resources:
  CloudWatchRole:
    Type: "AWS::IAM::Role"
    Properties:
      AssumeRolePolicyDocument: !Sub
        - |
          {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "Federated": "${IamOidcProviderArn}"
                    },
                    "Action": "sts:AssumeRoleWithWebIdentity",
                    "Condition": {
                        "StringEquals": {
                            "${OidcProvider}:sub": "system:serviceaccount:${AppNamespace}:${AppServiceAccountName}"
                        }
                    }
                }
            ]
          }
        - IamOidcProviderArn: !Join
          - ''
          - - 'arn:aws:iam::'
            - !Ref AWSAccountId
            - ':oidc-provider/'
            - !Ref OidcProvider
          OidcProvider: !Ref OidcProvider
          AppNamespace: !Ref AppNamespace
          AppServiceAccountName: !Ref AppServiceAccountName

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Cloudformation YAML 自定義變量 使用 Go 模板中的變量鍵訪問 map 值 如何在 cloudformation 中引用 ImportValue 中的變量? Ballerina - 如何使用參數/變量值作為地圖中的鍵? Cloudformation 參數 map 並使用 !join 加入 API 網關 uri 使用方法:Sub 或:Join in "AWS::CloudFormation,:Init", file key 在 CloudFormation 中創建 Glue 連接(MONGODB 連接類型)時 Required SSL 的關鍵是什么 使用 SAM 或 Cloudformation 將一個堆棧的輸出用作其他堆棧中 lambda 的環境變量 AWS Cloudformation - 將 CommaDelimitedList 參數轉換為字符串以將其作為環境變量傳遞給 Lamda Function snapshot.key 到字符串變量?
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM