我有这个IAM政策:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"cloudformation:UpdateStack",
"cloudformation:DeleteStack"
],
"Resource": "MystackARN"
}
]
}
我将它附加到我的用户进行测试然后尝试删除了cloudformation堆栈,然后我收到了这个错误:
Failed to delete stack: User: arn:aws:iam::accountId:user/me is not authorized to perform: cloudformation:DeleteStack on resource: arn:aws:cloudformation:eu-west-1:stackARN
我希望除了我之外的所有用户在尝试删除策略中指定的堆栈时都会收到此错误。
有没有办法使用AWS CLI将此政策添加到除我之外的所有用户(堆栈所有者)?
或
有没有办法从除我(堆栈所有者)以外的所有用户中删除权限DeleteStack?
我试过了:
aws iam attach-user-policy --policy-arn arn:aws:iam::AccountId:policy/cfn-policy --user-name arn:aws:iam::AccountId:user/*
但它没有用。
答案 0 :(得分:1)
实现这一目标的一个简单方法是:
这将是AWS推荐的做法。