如何在AWS中定义仅允许使用预定义模板创建堆栈的策略/角色/权限

Posted 2021-04-12

是否有一种方法可以在AWS中定义权限/策略/角色，从而仅使用特定模板（在S3上已更新）来创建CloudFormation Stack？

我看过AWS Service Roles，但我认为这不是我想要的。实际上，我看不出使用它的好处（就安全性而言）。如果用户不能直接创建资源，但是同一用户可以通过CloudFormation创建资源，那么好处在哪里？

但是，如果有一种方法可以限制可使用的模板，那么它将增加安全性，因为您可以定义可以创建哪些资源，而无需具有特定角色来通过权限来定义权限。堆栈的资源。

答案

您应该看一下service catalog。

通过使用此服务，您可以定义并连接可用于生成CloudFormation堆栈的模板，而无需授予团队成员创建CloudFormation堆栈的权限。

没有这个，没有直接的解决方案来限制仅特定来源对CloudFormation创建的访问。