我们有一个用例:在创建新存储桶时更新IAM策略 .
使用cloudformation模板创建新存储桶 .
是否可以更新当前的IAM策略,例如使用cloudformation添加新的Resource值?
您必须将SNS主题配置为您的cloudformation,cloudformation将发布到SNS主题 . 配置SNS以调用将更新IAM策略的Lambda函数 .
为您提供所需的权限
CloudFormation - >向SNS发送通知
SNS - >调用你的lambda
Lambda函数 - >更新IAM策略
或者,您可以创建可以访问所有S3存储桶的组或角色,然后为每个S3存储桶创建新的IAM策略,并使用 AWS::IAM::Policy 资源的 Groups 或 Roles 属性分配给组或角色 .
AWS::IAM::Policy
Groups
Roles
2 回答
您必须将SNS主题配置为您的cloudformation,cloudformation将发布到SNS主题 . 配置SNS以调用将更新IAM策略的Lambda函数 .
为您提供所需的权限
CloudFormation - >向SNS发送通知
SNS - >调用你的lambda
Lambda函数 - >更新IAM策略
或者,您可以创建可以访问所有S3存储桶的组或角色,然后为每个S3存储桶创建新的IAM策略,并使用
AWS::IAM::Policy
资源的Groups
或Roles
属性分配给组或角色 .