我正在使用自动管道(使用Jenkins)将git存储库中的AWS Cloudformation模板部署到AWS。
我有一个工作管道,可以处理一个AWS IAM用户,Jenkins作业使用该用户的访问密钥与AWS Cloudformation API进行通信。
我面临的问题是,最好让该IAM用户拥有尽可能少的权限,但是它应该具有足够的权限以访问Cloudformation API并创建我具有其模板的资源。 / p>
为了确定此最小权限集,我的问题是是否存在一个应用程序,程序包或AWS实用程序(我还找不到一个)来推断执行给定(一组)的IAM权限)Cloudformation模板,最好可以通过编程使用。
预先感谢您的任何建议!
答案 0 :(得分:1)
这是一件非常不错的事情,但是由于某些原因,亚马逊不愿意提供API进行检查。
一种解决此问题的方法很可能是一遍又一遍地运行cloudformation模板,并检查输出中是否缺少权限。然后,您每次都将它们添加到一个临时IAM角色,然后重复进行直到拥有启动模板的所有权限为止。这可能会花费相当长的时间,但可能是通过编程方式实现此目标的唯一实际方法。