Préparez-vous à créer un crochet de protection - AWS CloudFormation
Créer un rôle d’exécution

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Préparez-vous à créer un crochet de protection

Avant de créer un Guard Hook, vous devez remplir les conditions préalables suivantes :

  • Vous devez déjà avoir créé une règle de garde. Pour plus d’informations, consultez le Règles de Write Guard pour les Hooks.

  • L'utilisateur ou le rôle qui crée le Hook doit disposer des autorisations suffisantes pour activer les Hooks.

  • Pour utiliser le AWS CLI ou an SDK pour créer un Guard Hook, vous devez créer manuellement un rôle d'exécution avec IAM des autorisations et une politique de confiance CloudFormation permettant d'invoquer un Guard Hook.

Création d'un rôle d'exécution pour un Guard Hook

Un Hook utilise un rôle d'exécution pour les autorisations dont il a besoin pour invoquer ce Hook dans votre Compte AWS.

Ce rôle peut être créé automatiquement si vous créez un Guard Hook à partir du AWS Management Console ; sinon, vous devez créer ce rôle vous-même.

La section suivante explique comment configurer les autorisations pour créer votre Guard Hook.

Autorisations nécessaires

Suivez les instructions de la section Créer un rôle à l'aide de politiques de confiance personnalisées dans le Guide de IAM l'utilisateur pour créer un rôle avec une politique de confiance personnalisée.

Effectuez ensuite les étapes suivantes pour configurer vos autorisations :

  1. Associez la politique de privilèges minimaux suivante au IAM rôle que vous souhaitez utiliser pour créer le Guard Hook.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": [
        "arn:aws:s3:::my-guard-output-bucket/*",
        "arn:aws:s3:::my-guard-rules-bucket"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::my-guard-output-bucket/*"
      ]
    }
  ]
}

  2. Donnez à votre Hook l'autorisation d'assumer le rôle en ajoutant une politique de confiance au rôle. Vous trouverez ci-dessous un exemple de politique de confiance que vous pouvez utiliser.

    {
    "Version":"2012-10-17",
    "Statement":[
        {
            "Effect":"Allow",
            "Principal": {
                "Service": [
                    "hooks.cloudformation.amazonaws.com"
                ]
            },
            "Action":"sts:AssumeRole"
        }
    ]
}