我正在尝试为所有AWS资源设置IAM角色。我有一个角色定义("默认")我希望在所有实例上设置。此角色允许它从特定的S3存储桶下载所需的文件,并获取有关实例和卷的信息。
对于某些(并非所有)实例,我想提供更多功能,例如启动实例,终止实例或获取/访问其他S3存储桶。
有几个这样的情况。基本上每个角色都需要"默认" (见上文)角色能力和一些实例需要各种扩展能力。
我似乎找不到跨角色或类似方式分享政策的方法。我是创建多个角色并重复共享能力的唯一选择吗?
答案 0 :(得分:0)
可以通过AWS CloudFormation间接地跨角色共享策略,为开发人员和系统管理员提供了一种简单的方法来创建和管理相关AWS资源的集合,有序地配置和更新它们。可预测的时尚。
更具体地说,AWS::IAM::Policy资源将IAM策略与IAM用户,角色或组相关联:
{
"Type": "AWS::IAM::Policy",
"Properties": {
"Groups" : [ String, ... ],
"PolicyDocument" : JSON,
"PolicyName" : String,
"Roles" : [ String, ...
"Users" : [ String, ... ],
}
}
像这样,您只需要集中管理您的策略,并以源代码控制的方式更新与特定IAM实体(用户,组,角色)的关联。