1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 将用于“cdk deploy”的IAM用户的权限边界附加到用户身上并不能限制您想要的部署方式。事实上,“cdk deploy”本质上只是创建一个CloudFormation堆栈并调用CloudFormation服务执行实际的资源创建。CDK向CloudFormation服务传递了一个角色,该角色范围限制了部署权限。默认情况下,这是一个不受限制的“AdministratorAccess”角色,因此您需要应用权限边界到这个角色。
最佳实践是customize your CDK bootstrapping。
您可以编辑模板本身并将权限边界应用于引导模板中定义的角色。然后,您使用自定义模板引导CDK环境:
cdk bootstrap --show-template > custom-template.yaml
cdk bootstrap --template custom-template.yaml
或者,仅在引导时指定部署角色的受限策略:
cdk bootstrap --cloudformation-execution-policies <list-of-policy-arn>
您可以在GitHub上的AWS BootstrapKit示例存储库中找到customize your CDK bootstrapping模板的示例。此外,请查看CDK存储库中的此GitHub问题。
相关内容
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 7 个月前
- AWS 官方已更新 8 个月前