Determine os requisitos do IAM para o Cloudformation Stack

1

Atualmente, estou desenvolvendo e lançando uma pilha de cloud computing relativamente simples. Apenas algumas coisas simples do RDS, acionadas por meio do serviço externo de CI + CD.

No entanto, meu ciclo atual de desenvolvimento é incrivelmente ineficiente, simplesmente porque não entendo quais permissões do IAM precisam ser para o grupo de IAM Integração Contínua que configuramos.

Tentarei executar a implantação do modelo Cloudformation, apenas para configurar alguma configuração de erro e iniciar uma reversão. A reversão falhará, pois requer uma permissão diferente para remover o que foi gerenciado para criar até o momento. Eu adicionei as duas novas permissões que descobri, excluo a pilha porque está no estado ROLLBACK_FAILED e tente novamente.

Eu posso apenas curingar todas as permissões para todos os serviços de que preciso, mas isso não pode ser uma boa prática ao entregar algumas credenciais da AWS a um serviço externo.

Por causa disso. Existe uma maneira de saber quais permissões do IAM eu preciso especificamente configurar com base em um modelo de cloudformation? Como alternativa, há alguma lista de permissões do IAM esperadas para cada Cloudformation Resource? Estou sendo muito pedante para tentar limitar o máximo de permissões possíveis? Ou eu estou sempre destinado a este teste de permissão do IAM?

    
por SCB 22.11.2017 / 07:07

1 resposta

0

Eu mesmo tive a mesma pergunta, mas não consegui encontrar a resposta que queria.

Em vez disso, desenhei um diagrama que contém todas as partes relevantes, pensadas sobre cada parte em termos de:

- What does it need to do?
- Which resources does it touch/manage?

Então, para cada parte do diagrama, eu compilei uma lista de acesso do IAM que achei necessária e escrevi uma política específica que contém tudo o que seria necessário.

Depois, reproduzi a criação da pilha do CloudFormation, e ainda perdi algumas permissões, mas a maioria já estava coberta pela política que criei.

Espero que minha resposta ajude você.

    
por 25.12.2017 / 13:50