Generieren Sie Berechtigungen für die Bereitstellung von Cloudformation Stack

7

Ich habe einen CloudFormation-Stack, der häufig von einem Skript aktualisiert wird (Ändern der Quell-AMIs für die Startkonfiguration). Ich würde es gerne von demselben Skript bereitstellen lassen, das von einer nicht privilegierten Benutzer- / Instanzrolle ausgeführt wird. Derzeit werden alle Updates vom Administrator vorgenommen, mit viel mehr Berechtigungen als erforderlich.

Mein anfänglicher Ansatz bestand darin, zu versuchen und zu scheitern, in Protokollen zu sehen, welche Berechtigung fehlt, und sie einzeln hinzuzufügen. Es braucht viel Zeit und ist alles andere als produktiv.

Ich denke, dass es eine Möglichkeit geben sollte, eine Liste von Berechtigungen basierend auf der CloudFormation-Vorlage sowie Berechtigungen zum Aktualisieren des Stapels selbst zu generieren.

Mein zweiter Gedanke ist, CloudTrail-Protokolle der erfolgreichen Bereitstellung zu verarbeiten, um Aktionen und Ressourcen von dort zu extrahieren.

Vielleicht gibt es schon einen Weg, dies zu tun, und ich bin wieder: Das Rad einladen?

stimulieren
quelle
Das wäre erstaunlich zu haben; es würde viele mühsame Versuche und Irrtümer verhindern.
DylanSp

Antworten:

1

Sie sollten besser auf die IAM-Dokumente für die IAM-Aktionen verweisen, die zum Aktualisieren einer Ressource erforderlich sind. Zum Aktualisieren der ImageId- Eigenschaft einer LaunchConfiguration- Ressource muss beispielsweise die LaunchConfiguration-Ressource ersetzt werden. Anschließend muss die AutoScalingGroup über die Aktion UpdateAutoScalingGroup mit der neuen LaunchConfiguration aktualisiert werden .

Ich schlage vor, direkt auf die Dokumente zu verweisen, da ein Skript zum Generieren von Berechtigungen für eine CloudFormation-Vorlage eine Liste möglicher IAM-Aktionen für jede Ressource erstellen kann. Zu diesem Zeitpunkt müssen Sie sich jedoch noch die Liste ansehen und sagen: „Für diese Ressource (z. B. AutoScalingGroup) Welche Maßnahmen möchte ich ergreifen? "

Mein Punkt, direkt auf die Dokumentation zu verweisen, ist schneller als Versuch und Irrtum und so schnell wie das vorgeschlagene Tool.

Eine wirklich interessante Idee: Was könnte schneller sein, als direkt auf die Dokumentation zu verweisen, ist eine Editorerweiterung, die mögliche Aktionen für einen Ressourcentyp anzeigt, während Sie Ihre CF-Vorlage anzeigen. Ich habe kürzlich an einer solchen Erweiterung gearbeitet und werde hier einen Link einfügen, wenn ich sie vervollständige.

Joe Perks
quelle