我正在将CloudFormation模板部署到AWS。我要导入的模板正在为我的Lambda调用创建角色,而我无法直接对其进行修改。我希望修改该角色以附加我的AWS账户中已经存在的AWS托管策略AWSLambdaVPCAccessExecutionRole
。到目前为止,我所有的搜索都为空。
aws_iam_role_policy_attachment
的指令,但这对我来说不可用我希望获得以下类似信息,但我找不到任何证据表明存在于任何地方。有什么可以做我想做的事吗?
---
Resources:
AdditionalRolePermissions:
Type: "AWS::IAM::RolePolicyAttachment"
Properties:
Roles:
- Ref: ExistingRole
PolicyName:
- Ref: ExistingPolicy
到目前为止,我想到的最好的解决方案是创建一个新策略,该策略具有一个手动创建的PolicyDocument,该文档与AWSLambdaVPCAccessExecutionRole
的现有策略相同,并在创建后将其附加到角色上。我宁愿不这样做,因为那样将很难维护。
答案 0 :(得分:1)
不幸的是,除非创建custom resource,否则您不能在纯CloudFormation中执行此操作,但是那时候这还不是纯CloudFormation,因为您需要创建lambda和其他资源来实现自定义资源。目前,CloudFormation中没有策略附件的概念,这些附件仅在您定义策略或角色资源时发生。
最简单的方法是采用创建重复AWSLambdaVPCAccessExecutionRole
的策略的解决方案。该策略非常简单,与其他一些复杂策略相比,您的CloudFormation模板不应过于混乱。