我正在开发一个自动化管道(使用Jenkins(,该管道将驻留在git存储库中的AWS云信息模板部署到AWS。
我有一个工作管道,可以从一个AWS IAM用户那里工作,Jenkins作业使用该用户的访问密钥与AWS Cloudformation API对话。
我面临的问题是,我最好让这个IAM用户拥有尽可能少的权限,但它应该有足够的权限来访问Cloudformation API,也可以创建我有模板的资源。
为了确定这个最小权限集,我的问题是是否存在应用程序、包或AWS实用程序(我还没能找到(来推断执行给定(一组(Cloudformation模板所需的IAM权限,这些模板最好可以编程使用。
提前感谢您的任何建议!
这是一个非常好的东西,但出于某种原因,亚马逊不愿意提供API来检查这一点。
解决这一问题的一种方法可能是反复运行cloudformation模板,并检查输出中是否缺少权限。然后,您每次都将它们添加到临时IAM角色中,并重复此操作,直到您拥有启动模板的所有权限。这可能需要相当长的时间,但可能是以编程方式实现这一点的唯一实际方法。