我目前正在开发和推出一个相对简单的cloudformation栈。 只需通过外部CI + CD服务触发一些简单的RDS内容即可。
但是,我目前的开发周期是非常低效的,纯粹是因为我不明白IAM设置的持续集成 IAM组的IAM权限需要什么。
我将尝试运行Cloudformation模板的部署,只是为了设置某些错误并启动回滚。 然后,回滚将失败,因为它需要不同的权限才能删除目前创build的内容。 我添加了我发现的两个新权限,删除堆栈,因为它处于ROLLBACK_FAILED状态,然后重试。
我可以通配符所需的所有服务的所有权限,但将某些AWS凭证交给外部服务时,这不是最佳实践。
因为这个。 有没有办法知道我特别需要基于云形成模板设置的IAM权限? 或者,是否有一些预期的每个Cloudformation资源的IAM权限列表? 我试图限制尽可能多的权限太过于迂腐了吗? 还是我永远注定了IAM权限调整的这个试验?