我正在尝试为所有 AWS 资源设置 IAM 角色。我定义了一个角色("默认"),我希望在所有实例上设置该角色。此角色允许它从特定 S3 存储桶下载所需的文件,以及获取有关实例和卷的信息。
对于某些(不是全部)实例,我想提供更多功能,例如启动实例、终止实例或获取/放置对其他 S3 存储桶的访问权限。
有几种这样的情况。基本上每个角色都需要"默认"(见上文)角色能力,有些实例需要各种扩展能力。
我似乎找不到任何跨角色共享策略或类似方法的方法。我是否只能创建多个角色并重复共享能力?
通过 AWS
CloudFormation 可以间接地跨角色共享策略,它为开发人员和系统管理员提供了一种简单的方法来创建和管理相关 AWS 资源的集合,并以有序且可预测的方式预置和更新它们。
更具体地说,AWS::IAM::P olicy 资源将 IAM 策略与 IAM 用户、角色或组相关联:
{
"Type": "AWS::IAM::Policy",
"Properties": {
"Groups" : [ String, ... ],
"PolicyDocument" : JSON,
"PolicyName" : String,
"Roles" : [ String, ...
"Users" : [ String, ... ],
}
}
像这样,您只需要集中管理您的策略,就可以以源代码控制的方式更新与特定 IAM 实体(用户、组、角色)的关联。
- 当然,CloudFormation 还有更多功能,它是一个非常强大的工具(请参阅 AWS CloudFormation 入门)。