Mon équipe a un pipeline qui fonctionne sous un rôle d'exécution IAM. Nous voulons déployer du code sur AWS via Cloudformation ou le CDK.
Dans le passé, nous téléchargerions des artefacts vers des godets S3 avant de créer/mettre à jour notre pile de cloudations en utilisant le rôle d'exécution IAM.
Nous avons récemment passé au CDK et essayons d'obtenir autant automatisé avec le dépôt de CDK le plus possible, mais nous rencontrons de nombreux éléments de permission que nous devons ajouter que nous n'avions pas préalable (par exemple, cloudformation: GetTemplate) .
Nous ne voulons pas seulement accorder * (nous voulons suivre le moins de privilège), mais je ne trouve aucune liste documentée claire.
Existe-t-il une liste standard d'autorisations que CDK Déploy repose-t-elle? Y a-t-il des "gentils d'avoir" au-delà d'une liste standard?
J'utilise ci-dessous la politique pour déployer des applications CDK. Outre le CFN complet accès et S3 Accès complet au godet de stadification CDK, il attribue la permission de faire tout via Cloudformation.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"cloudformation:*"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"cloudformation.amazonaws.com"
]
}
},
"Action": "*",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "s3:*",
"Resource": "arn:aws:s3:::cdktoolkit-stagingbucket-*",
"Effect": "Allow"
}
]
}