Memberikan izin yang dikelola sendiri - AWS CloudFormation
Ikhtisar izin yang dikelola sendiriBerikan semua pengguna izin akun administrator untuk mengelola tumpukan di semua akun targetMenyiapkan opsi izin lanjutan untuk operasi set tumpukanPencegahan Deputi Bingung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memberikan izin yang dikelola sendiri

Topik ini memberikan petunjuk tentang cara membuat peran IAM layanan yang diperlukan StackSets untuk menyebarkan di seluruh akun dan Wilayah AWS dengan izin yang dikelola sendiri. Peran ini diperlukan untuk membangun hubungan tepercaya antara akun tempat Anda mengelola set tumpukan dan akun tempat Anda menerapkan instans tumpukan. Menggunakan model izin ini, StackSets dapat menyebarkan ke mana pun Akun AWS di mana Anda memiliki izin untuk membuat peran. IAM

Untuk menggunakan izin yang dikelola layanan, lihat sebagai gantinya. Aktifkan akses tepercaya untuk set tumpukan dengan Organizations

Ikhtisar izin yang dikelola sendiri

Sebelum membuat kumpulan tumpukan dengan izin yang dikelola sendiri, Anda harus telah membuat peran IAM layanan di setiap akun.

Langkah dasarnya adalah:

  1. Tentukan AWS akun mana yang merupakan akun administrator.

    Set tumpukan dibuat di akun administrator ini. Akun target adalah akun tempat Anda membuat tumpukan individual yang termasuk dalam set tumpukan.

  2. Tentukan bagaimana Anda ingin menyusun izin untuk set tumpukan.

    Konfigurasi izin paling sederhana (dan paling permisif) adalah di mana Anda memberi semua pengguna dan grup di akun administrator kemampuan untuk membuat dan memperbarui semua set tumpukan yang dikelola melalui akun itu. Jika Anda memerlukan kendali yang lebih halus, Anda dapat mengatur izin untuk menentukan:

    • Pengguna dan grup mana yang dapat melakukan operasi set tumpukan di akun target mana.

    • Sumber daya mana yang dapat disertakan oleh pengguna dan grup dalam set tumpukan mereka.

    • Operasi set tumpukan mana yang dapat dilakukan oleh pengguna dan grup tertentu.

  3. Buat peran IAM layanan yang diperlukan di administrator dan akun target Anda untuk menentukan izin yang Anda inginkan.

    Secara khusus, dua peran yang diperlukan adalah:

    • AWSCloudFormationStackSetAdministrationRole— Peran ini diterapkan ke akun administrator.

    • AWSCloudFormationStackSetExecutionRole— Peran ini diterapkan ke semua akun tempat Anda membuat instance tumpukan.

Berikan semua pengguna izin akun administrator untuk mengelola tumpukan di semua akun target

Bagian ini menunjukkan cara mengatur izin untuk memungkinkan semua pengguna dan grup akun administrator melakukan operasi set tumpukan di semua akun target. Ini memandu Anda melalui pembuatan peran IAM layanan yang diperlukan di administrator dan akun target Anda. Siapa pun di akun administrator kemudian dapat membuat, memperbarui, atau menghapus tumpukan apa pun di salah satu akun target.

Dengan menyusun izin dengan cara ini, pengguna tidak melewati peran administrasi saat membuat atau memperbarui kumpulan tumpukan.

Setiap pengguna di akun administrator kemudian dapat membuat tumpukan apa pun yang ditetapkan di akun target setelah menyiapkan hubungan kepercayaan.
Administrator account

Di akun administrator, buat IAM peran bernama AWSCloudFormationStackSetAdministrationRole.

Anda dapat melakukan ini dengan membuat tumpukan dari CloudFormation template yang tersedia https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSCloudFormationStackSetAdministrationRoledari.yl.

contoh Contoh kebijakan izin

Peran administrasi yang dibuat oleh template sebelumnya mencakup kebijakan izin berikut. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "sts:AssumeRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRole"
      ],
      "Effect": "Allow"
    }
  ]
}
contoh Contoh kebijakan kepercayaan 1

Templat sebelumnya juga menyertakan kebijakan kepercayaan berikut yang memberikan izin layanan untuk menggunakan peran administrasi dan izin yang dilampirkan pada peran tersebut.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
contoh Contoh kebijakan kepercayaan 2

Untuk menerapkan instance tumpukan ke akun target yang berada di Wilayah yang dinonaktifkan secara default, Anda juga harus menyertakan prinsip layanan regional untuk Wilayah tersebut. Setiap Wilayah yang dinonaktifkan secara default akan memiliki prinsip layanan regionalnya sendiri.

Contoh kebijakan kepercayaan berikut memberikan izin layanan untuk menggunakan peran administrasi di Wilayah Asia Pasifik (Hong Kong) (ap-east-1), Wilayah yang dinonaktifkan secara default. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
            "cloudformation.amazonaws.com",
            "cloudformation.ap-east-1.amazonaws.com"
         ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Untuk informasi selengkapnya, lihat Melakukan operasi set tumpukan yang melibatkan Wilayah yang dinonaktifkan secara default. Untuk daftar kode Wilayah, lihat Titik akhir Regional di Panduan Referensi AWS Umum.

Target accounts

Di setiap akun target, buat peran layanan bernama AWSCloudFormationStackSetExecutionRoleyang mempercayai akun administrator. Peran ini harus memiliki nama yang tepat. Anda dapat melakukan ini dengan membuat tumpukan dari CloudFormation template yang tersedia https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSCloudFormationStackSetExecutionRoledari.yl. Saat Anda menggunakan templat ini, Anda diminta untuk memberikan ID akun akun administrator yang dengannya akun target Anda harus memiliki hubungan kepercayaan.

penting

Ketahuilah bahwa templat ini memberikan akses administrator. Setelah menggunakan templat untuk membuat peran eksekusi akun target, Anda harus mencakupkan izin dalam pernyataan kebijakan ke jenis sumber daya yang Anda buat dengan menggunakan StackSets.

Peran layanan akun target memerlukan izin untuk melakukan operasi apa pun yang ditentukan dalam CloudFormation templat Anda. Misalnya, jika templat Anda membuat bucket S3, Anda akan memerlukan izin untuk membuat objek baru untuk S3. Akun target Anda selalu membutuhkan CloudFormation izin penuh, yang mencakup izin untuk membuat, memperbarui, menghapus, dan menjelaskan tumpukan.

contoh Contoh kebijakan izin 1

Peran yang dibuat oleh templat ini mengaktifkan kebijakan berikut di akun target Anda.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*"
    }
  ]
}
contoh Contoh kebijakan izin 2

Contoh berikut menunjukkan pernyataan kebijakan dengan izin minimum StackSets untuk bekerja. Untuk membuat tumpukan di akun target yang menggunakan sumber daya dari layanan selain CloudFormation, Anda harus menambahkan tindakan layanan dan sumber daya tersebut ke pernyataan AWSCloudFormationStackSetExecutionRolekebijakan untuk setiap akun target.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "cloudformation:*"
      ],
      "Resource": "*"
    }
  ]
}
contoh Contoh kebijakan kepercayaan

Hubungan kepercayaan berikut dibuat oleh templat. ID akun administrator ditampilkan sebagai admin_account_id.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::admin_account_id:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Anda dapat mengonfigurasi hubungan kepercayaan peran eksekusi akun target yang ada untuk mempercayai peran tertentu di akun administrator. Jika Anda menghapus peran di akun administrator, dan membuat yang baru untuk menggantinya, Anda harus mengonfigurasi hubungan kepercayaan akun target Anda dengan peran akun administrator baru, yang diwakili oleh admin_account_id pada contoh sebelumnya.

Menyiapkan opsi izin lanjutan untuk operasi set tumpukan

Jika Anda memerlukan kontrol yang lebih halus atas kumpulan tumpukan yang dibuat pengguna dan grup melalui satu akun administrator, Anda dapat menggunakan IAM peran untuk menentukan:

  • Pengguna dan grup mana yang dapat melakukan operasi set tumpukan di akun target mana.

  • Sumber daya mana yang dapat disertakan oleh pengguna dan grup dalam set tumpukan mereka.

  • Operasi set tumpukan mana yang dapat dilakukan oleh pengguna dan grup tertentu.

Kontrol pengguna mana yang dapat melakukan operasi set tumpukan di akun target tertentu

Gunakan peran administrasi yang disesuaikan untuk mengontrol pengguna dan grup mana yang dapat melakukan operasi set tumpukan di akun target mana. Anda mungkin ingin mengontrol pengguna akun administrator mana yang dapat melakukan operasi set tumpukan di akun target mana. Untuk melakukan ini, Anda membuat hubungan kepercayaan antara setiap akun target dan peran administrasi khusus khusus, daripada membuat peran AWSCloudFormationStackSetAdministrationRolelayanan di akun administrator itu sendiri. Anda kemudian mengaktifkan pengguna dan grup tertentu untuk menggunakan peran administrasi yang disesuaikan saat melakukan operasi set tumpukan di akun target tertentu.

Misalnya, Anda dapat membuat Peran A dan Peran B dalam akun administrator. Anda dapat memberikan izin Peran A untuk mengakses akun target 1 melalui akun 8. Anda dapat memberikan izin Peran B untuk mengakses akun target 9 melalui akun 16.

Hubungan kepercayaan antara peran administrasi yang disesuaikan dan akun target yang memungkinkan pengguna membuat kumpulan tumpukan.

Menyiapkan izin yang diperlukan melibatkan penentuan peran administrasi yang disesuaikan, membuat peran layanan untuk akun target, dan memberikan izin kepada pengguna untuk meneruskan peran administrasi yang disesuaikan saat melakukan operasi set tumpukan.

Secara umum, inilah cara kerjanya setelah Anda memiliki izin yang diperlukan: Saat membuat kumpulan tumpukan, pengguna harus menentukan peran administrasi yang disesuaikan. Pengguna harus memiliki izin untuk meneruskan peran tersebut CloudFormation. Selain itu, peran administrasi yang disesuaikan harus memiliki hubungan kepercayaan dengan akun target yang ditentukan untuk kumpulan tumpukan. CloudFormation membuat kumpulan tumpukan dan mengaitkan peran administrasi yang disesuaikan dengannya. Saat memperbarui kumpulan tumpukan, pengguna harus secara eksplisit menentukan peran administrasi yang disesuaikan, meskipun itu adalah peran administrasi khusus yang sama yang digunakan dengan kumpulan tumpukan ini sebelumnya. CloudFormation menggunakan peran itu untuk memperbarui tumpukan, tunduk pada persyaratan di atas.

Administrator account
contoh Contoh kebijakan izin

Untuk setiap kumpulan tumpukan, buat peran administrasi yang disesuaikan dengan izin untuk mengambil peran eksekusi akun target.

Nama peran eksekusi akun target harus sama di setiap akun target. Jika nama perannya AWSCloudFormationStackSetExecutionRole, StackSets gunakan secara otomatis saat membuat kumpulan tumpukan. Jika Anda menentukan nama peran kustom, pengguna harus memberikan nama peran eksekusi saat membuat kumpulan tumpukan.

Buat peran IAM layanan dengan nama khusus dan kebijakan izin berikut. Dalam contoh di bawah ini, custom_execution_role mengacu pada peran eksekusi di akun target. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "sts:AssumeRole"
      ],
      "Resource": [
        "arn:aws:iam::target_account_id:role/custom_execution_role"
      ],
      "Effect": "Allow"
    }
  ]
}

Untuk menentukan beberapa akun dalam satu pernyataan, pisahkan dengan koma.

"Resource": [
  "arn:aws:iam::target_account_id_1:role/custom_execution_role", 
  "arn:aws:iam::target_account_id_2:role/custom_execution_role"
]

Anda dapat menentukan semua akun target dengan menggunakan wildcard (*), bukan ID akun.

"Resource": [
  "arn:aws:iam::*:role/custom_execution_role"
]
contoh Contoh kebijakan kepercayaan 1

Anda harus memberikan kebijakan kepercayaan untuk peran layanan untuk menentukan IAM prinsip mana yang dapat mengambil peran tersebut.

{ 
  "Version": "2012-10-17", 
  "Statement": [ 
    { 
      "Effect": "Allow", 
      "Principal": { 
        "Service": "cloudformation.amazonaws.com" 
      }, 
      "Action": "sts:AssumeRole" 
    } 
  ] 
}
contoh Contoh kebijakan kepercayaan 2

Untuk menerapkan instance tumpukan ke akun target yang berada di Wilayah yang dinonaktifkan secara default, Anda juga harus menyertakan prinsip layanan regional untuk Wilayah tersebut. Setiap Wilayah yang dinonaktifkan secara default akan memiliki prinsip layanan regionalnya sendiri.

Contoh kebijakan kepercayaan berikut memberikan izin layanan untuk menggunakan peran administrasi di Wilayah Asia Pasifik (Hong Kong) (ap-east-1), Wilayah yang dinonaktifkan secara default. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
            "cloudformation.amazonaws.com",
            "cloudformation.ap-east-1.amazonaws.com"
         ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Untuk informasi selengkapnya, lihat Melakukan operasi set tumpukan yang melibatkan Wilayah yang dinonaktifkan secara default. Untuk daftar kode Wilayah, lihat Titik akhir Regional di Panduan Referensi AWS Umum.

contoh Contoh kebijakan peran lulus

Anda juga memerlukan kebijakan IAM izin untuk IAM pengguna yang memungkinkan pengguna untuk meneruskan peran administrasi yang disesuaikan saat melakukan operasi set tumpukan. Untuk informasi selengkapnya, lihat Memberikan izin pengguna untuk meneruskan peran ke layanan AWS.

Dalam contoh di bawah ini, customized_admin_role mengacu pada peran administrasi yang harus dilewati pengguna.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/customized_admin_role"
    }
  ]
}
Target accounts

Di setiap akun target, buat peran layanan yang mempercayai peran administrasi khusus yang ingin Anda gunakan dengan akun ini.

Peran akun target memerlukan izin untuk melakukan operasi apa pun yang ditentukan dalam CloudFormation templat Anda. Misalnya, jika templat Anda membuat bucket S3, Anda akan memerlukan izin untuk membuat objek baru di S3. Akun target Anda selalu membutuhkan CloudFormation izin penuh, yang mencakup izin untuk membuat, memperbarui, menghapus, dan menjelaskan tumpukan.

Nama peran akun target harus sama di setiap akun target. Jika nama perannya AWSCloudFormationStackSetExecutionRole, StackSets gunakan secara otomatis saat membuat kumpulan tumpukan. Jika Anda menentukan nama peran kustom, pengguna harus memberikan nama peran eksekusi saat membuat kumpulan tumpukan.

contoh Contoh kebijakan izin

Contoh berikut menunjukkan pernyataan kebijakan dengan izin minimum StackSets untuk bekerja. Untuk membuat tumpukan di akun target yang menggunakan sumber daya dari layanan selain CloudFormation, Anda harus menambahkan tindakan layanan dan sumber daya tersebut ke kebijakan izin.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:*"
      ],
      "Resource": "*"
    }
  ]
}
contoh Contoh kebijakan kepercayaan

Anda harus memberikan kebijakan kepercayaan berikut ketika Anda membuat peran untuk menentukan hubungan kepercayaan.

{
  "Version": "2012-10-17", 
  "Statement": [ 
    { 
      "Effect": "Allow", 
      "Principal": { 
      "AWS": "arn:aws:iam::admin_account_id:role/customized_admin_role" 
      }, 
      "Action": "sts:AssumeRole"
    } 
  ] 
}

Kontrol sumber daya yang dapat disertakan pengguna dalam kumpulan tumpukan tertentu

Gunakan peran eksekusi yang disesuaikan untuk mengontrol sumber daya tumpukan mana yang dapat disertakan oleh pengguna dan grup dalam set tumpukan mereka. Misalnya, Anda mungkin ingin menyiapkan grup yang hanya dapat menyertakan sumber daya terkait Amazon S3 dalam kumpulan tumpukan yang mereka buat, sementara tim lain hanya dapat menyertakan sumber daya DynamoDB. Untuk melakukan ini, Anda membuat hubungan kepercayaan antara peran administrasi yang disesuaikan untuk setiap grup dan peran eksekusi yang disesuaikan untuk setiap kumpulan sumber daya. Peran eksekusi yang disesuaikan menentukan sumber daya tumpukan mana yang dapat disertakan dalam set tumpukan. Peran administrasi yang disesuaikan berada di akun administrator, sedangkan peran eksekusi yang disesuaikan berada di setiap akun target tempat Anda ingin membuat kumpulan tumpukan menggunakan sumber daya yang ditentukan. Anda kemudian mengaktifkan pengguna dan grup tertentu untuk menggunakan peran administrasi yang disesuaikan saat melakukan operasi set tumpukan.

Misalnya Anda dapat membuat peran administrasi yang disesuaikan A, B, dan C di akun administrator. Pengguna dan grup dengan izin untuk menggunakan Peran A dapat membuat set tumpukan yang berisi sumber daya tumpukan yang secara khusus tercantum dalam peran eksekusi yang disesuaikan X, tetapi tidak dalam peran Y atau Z, atau sumber daya yang tidak disertakan dalam peran eksekusi apa pun.

Hubungan kepercayaan antara peran admin kustom dan peran eksekusi kustom di akun target, memungkinkan pengguna untuk membuat kumpulan tumpukan.

Saat memperbarui kumpulan tumpukan, pengguna harus secara eksplisit menentukan peran administrasi yang disesuaikan, meskipun itu adalah peran administrasi khusus yang sama yang digunakan dengan kumpulan tumpukan ini sebelumnya. CloudFormation melakukan pembaruan menggunakan peran administrasi khusus yang ditentukan, selama pengguna memiliki izin untuk melakukan operasi pada kumpulan tumpukan itu.

Demikian pula, pengguna juga dapat menentukan peran eksekusi yang disesuaikan. Jika mereka menentukan peran eksekusi yang disesuaikan, CloudFormation gunakan peran itu untuk memperbarui tumpukan, tunduk pada persyaratan di atas. Jika pengguna tidak menentukan peran eksekusi yang disesuaikan, CloudFormation lakukan pembaruan menggunakan peran eksekusi khusus yang sebelumnya dikaitkan dengan kumpulan tumpukan, selama pengguna memiliki izin untuk melakukan operasi pada kumpulan tumpukan tersebut.

Administrator account

Buat peran administrasi yang disesuaikan di akun administrator Anda, seperti yang dijelaskan dalamKontrol pengguna mana yang dapat melakukan operasi set tumpukan di akun target tertentu. Sertakan hubungan kepercayaan antara peran administrasi yang disesuaikan dan peran eksekusi khusus yang ingin Anda gunakan.

contoh Contoh kebijakan izin

Contoh berikut adalah kebijakan izin untuk kedua yang AWSCloudFormationStackSetExecutionRoleditentukan untuk akun target, selain peran eksekusi yang disesuaikan.

{
  "Version": "2012-10-17",
   "Statement": [
    {
      "Sid": "Stmt1487980684000",
      "Effect": "Allow",
      "Action": [
        "sts:AssumeRole" 
      ],
      "Resource": [ 
        "arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRole",
        "arn:aws:iam::*:role/custom_execution_role" 
      ]
    } 
  ]
}
Target accounts

Di akun target tempat Anda ingin membuat set tumpukan, buat peran eksekusi yang disesuaikan yang memberikan izin ke layanan dan sumber daya yang Anda inginkan agar dapat disertakan oleh pengguna dan grup dalam set tumpukan.

contoh Contoh kebijakan izin

Contoh berikut memberikan izin minimum untuk kumpulan tumpukan, bersama dengan izin untuk membuat tabel Amazon DynamoDB.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "dynamoDb:createTable"
      ],
      "Resource": "*"
    }
  ]
}
contoh Contoh kebijakan kepercayaan

Anda harus memberikan kebijakan kepercayaan berikut ketika Anda membuat peran untuk menentukan hubungan kepercayaan.

{
  "Version": "2012-10-17", 
  "Statement": [ 
    { 
      "Effect": "Allow", 
      "Principal": { 
      "AWS": "arn:aws:iam::admin_account_id:role/customized_admin_role" 
      }, 
      "Action": "sts:AssumeRole"
    } 
  ] 
}

Menyiapkan izin untuk operasi set tumpukan tertentu

Selain itu, Anda dapat menyiapkan izin agar pengguna dan grup dapat melakukan operasi set tumpukan tertentu, seperti membuat, memperbarui, atau menghapus set tumpukan atau instans tumpukan. Untuk informasi selengkapnya, lihat Kunci tindakan, sumber daya, dan kondisi CloudFormation di Panduan IAM Pengguna.

Siapkan kunci global untuk mengurangi masalah wakil yang membingungkan

Masalah deputi yang bingung adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memaksa entitas yang lebih istimewa untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (layanan yang dipanggil) memanggil layanan lain (layanan yang dipanggil). Layanan panggilan dapat dimanipulasi untuk menggunakan izinnya untuk bertindak atas sumber daya pelanggan lain dengan cara yang seharusnya tidak memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS sediakan alat yang membantu Anda melindungi data Anda untuk semua layanan dengan prinsip layanan yang telah diberikan akses ke sumber daya di akun Anda.

Sebaiknya gunakan kunci konteks kondisi aws:SourceAccountglobal aws:SourceArndan dalam kebijakan sumber daya untuk membatasi izin yang AWS CloudFormation StackSets memberikan layanan lain ke sumber daya. Jika Anda menggunakan kedua kunci konteks kondisi global, aws:SourceAccount nilai dan akun dalam aws:SourceArn nilai harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama.

Cara paling efektif untuk melindungi dari masalah wakil yang membingungkan adalah dengan menggunakan kunci konteks kondisi aws:SourceArn global dengan penuh ARN sumber daya. Jika Anda tidak mengetahui sumber daya ARN yang lengkap atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks aws:SourceArn global dengan wildcard (*) untuk bagian yang tidak diketahui. ARN Misalnya, arn:aws:cloudformation::123456789012:*. Bila memungkinkan, gunakanaws:SourceArn, karena lebih spesifik. Gunakan aws:SourceAccount hanya ketika Anda tidak dapat menentukan yang benar ARN atau ARN pola.

Saat StackSets mengasumsikan peran Administrasi di akun administrator Anda, StackSets isi ID akun administrator dan Nama Sumber Daya StackSets Amazon ()ARN. Oleh karena itu, Anda dapat menentukan kondisi untuk kunci global aws:SourceAccount dan aws:SourceArn dalam hubungan kepercayaan untuk mencegah masalah wakil yang membingungkan. Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci konteks kondisi aws:SourceAccount global aws:SourceArn dan StackSets untuk mencegah masalah wakil yang membingungkan.

Administrator account
contoh Kunci global untuk aws:SourceAccount dan aws:SourceArn

Saat menggunakan StackSets, tentukan kunci global aws:SourceAccount dan aws:SourceArn dalam kebijakan AWSCloudFormationStackSetAdministrationRolekepercayaan Anda untuk mencegah masalah wakil yang membingungkan.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:cloudformation:*:111122223333:stackset/*"
        }
      }
    }
  ]
}
contoh StackSets ARNs

Tentukan terkait Anda StackSets ARNs untuk kontrol yang lebih baik.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333",
          "aws:SourceArn": [
            "arn:aws:cloudformation:STACKSETS-REGION:111122223333:stackset/STACK-SET-ID-1",
            "arn:aws:cloudformation:STACKSETS-REGION:111122223333:stackset/STACK-SET-ID-2",
          ]
        }
      }
    }
  ]
}