我正试图用IAM设置我的CI/CD,这样只有特定的IAM用户才能Update我们的ProdCloudFormation堆栈。
但我们对CloudFormation上的Update策略是如何工作的感到困惑。
如果我有一个IAM用户,他只有一个策略:ProdCloudFormation堆栈上的Update,即使他没有这些特定的权限,他也可以编辑/更改该堆栈中的任何资源吗?
例如,我在这个堆栈上有一个S3存储桶,我在更新中更改了它的名称,即使这个用户只有Update策略,他也能做到这一点吗?
如果我有一个IAM用户,他在
ProdCloudFormation堆栈上只有一个策略:Update,即使他没有这些特定的权限,他也可以编辑/更改该堆栈中的任何资源吗?
否。
参考:
除了AWS CloudFormation操作外,您还可以管理每个用户可用的AWS服务和资源。这样,您就可以控制用户在使用AWS CloudFormation时可以访问哪些资源。例如,您可以指定哪些用户可以创建AmazonEC2实例、终止数据库实例或更新VPC。每当他们使用AWS CloudFormation执行这些操作时,都会应用相同的权限。