Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Saat membuat, memperbarui, dan menghapus CloudFormation tumpukan, pengguna dapat secara opsional menentukan peran IAM ARN. Jika tidak ada peran yang disediakan, CloudFormation gunakan mekanisme layanan defaultnya untuk berinteraksi dengan AWS layanan lain. Dalam skenario ini, penelepon harus memiliki izin yang diperlukan untuk sumber daya yang dikelola. Atau, ketika pengguna memasok peran IAM mereka sendiri, CloudFormation akan mengambil peran itu untuk melakukan interaksi layanan atas nama mereka.
Terlepas dari apakah pengguna menyediakan peran IAM, CloudFormation menghasilkan token FAS cakupan bawah baru untuk setiap operasi sumber daya. Akibatnya, kunci kondisi terkait FAS, termasukaws:ViaAWSService, diisi di kedua skenario.
Penggunaan FAS mempengaruhi bagaimana kebijakan IAM dievaluasi selama operasi. CloudFormation Saat membuat tumpukan dengan templat yang menyertakan sumber daya yang dipengaruhi oleh kunci kondisi terkait FAS, penolakan izin dapat terjadi.
Contoh kebijakan IAM
Pertimbangkan kebijakan IAM berikut. Statement2akan secara konsisten mencegah penciptaan sumber AWS::KMS::Key daya di CloudFormation. Pembatasan akan diberlakukan secara konsisten, terlepas dari apakah peran IAM disediakan atau tidak selama operasi tumpukan. Ini karena kunci aws:ViaAWSService kondisi selalu disetel true karena penggunaan FAS.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"*"
],
"Resource": [
"*"
]
},
{
"Sid": "Statement2",
"Effect": "Deny",
"Action": [
"kms:CreateKey"
],
"Resource": [
"*"
],
"Condition": {
"Bool": {
"aws:ViaAWSService": "true"
}
}
}
]
}Contoh template tumpukan
Misalnya, ketika pengguna membuat tumpukan dengan contoh template berikut, aws:ViaAWSService disetel ketrue, dan izin peran akan diganti oleh kebijakan FAS. Pembuatan tumpukan akan dipengaruhi oleh Statement2 kebijakan IAM, yang menyangkal tindakan tersebutCreateKey. Ini menghasilkan kesalahan izin ditolak.
Resources:
myPrimaryKey:
Type: AWS::KMS::Key
Properties:
Description: An example multi-Region primary key
KeyPolicy:
Version: '2012-10-17'
Id: key-default-1
Statement:
- Sid: Enable IAM User Permissions
Effect: Allow
Principal:
AWS: !Join
- ''
- - 'arn:aws:iam::'
- !Ref AWS::AccountId
- ':root'
Action: kms:*
Resource: '*'Untuk informasi selengkapnya tentang FAS, lihat Teruskan sesi akses di Panduan Pengguna IAM.
catatan
Sebagian besar sumber daya mematuhi perilaku ini. Namun, jika Anda mengalami keberhasilan atau kegagalan yang tidak terduga saat membuat, memperbarui, atau menghapus sumber daya, dan kebijakan IAM Anda menyertakan kunci kondisi terkait FAS, kemungkinan sumber daya tersebut milik sebagian kecil sumber daya yang tidak mengikuti pola standar ini.
