使用嵌套堆栈是AWS CloudFormation中的best practice,实际上它们解决了许多问题(代码重用,堆栈限制等)。
通常,以最小的访问权限进行任何更新(使用UpdateStack命令的RoleARN)也是一个好主意。我似乎找不到任何有关IAM访问的文档,对于更新具有嵌套堆栈的堆栈是必需的。
答案 0 :(得分:2)
如here所述,堆栈更新将始终再次获取嵌套堆栈的模板。
s3:GetObject
(或s3:GetObjectVersion
(如果使用版本化的url))是必需的堆栈是托管的。iam:GetRole
来进行自我检查(因此Resource
应该是角色本身的Arn)。