CDK Пользовательский ресурс не авторизован для выполнения действий над ресурсом
Я написал собственный ресурс, используя CDK, чтобы включить стандарты SecurityHub, однако мой стек постоянно не развертывается.
Я получаю следующую ошибку
Учетная запись с идентификатором XXXXXXXXXXX не авторизована для выполнения действий с ресурсом: arn:aws:securityhub:ap-southeast-2::standard / pci-dss / v / 3.2.1 "
Я подумал, добавив * к
AwsCustomResourcePolicy этого было бы достаточно ... Мне удалось успешно включить
pci-dss стандарты через cli & console
Вот мой код
def create_pci_standard_set():
pci_standards_set = custom_resources.AwsCustomResource(
self,
'SecurityHubPci',
policy=custom_resources.AwsCustomResourcePolicy.from_statements(statements=[
iam.PolicyStatement(
effect=iam.Effect.ALLOW,
actions=["*"],
resources=["*"]
)
]),
on_create=custom_resources.AwsSdkCall(
action='batchEnableStandards',
service='SecurityHub',
physical_resource_id=custom_resources.PhysicalResourceId.from_response('StandardsSubscriptions.StandardsArn'),
parameters={
"StandardsSubscriptionRequests": [{
"StandardsArn": f"arn:aws:securityhub:{core.Stack.of(self).region}::standards/pci-dss/v/3.2.1"
}]
}
),
on_update=custom_resources.AwsSdkCall(
action='batchEnableStandards',
service='SecurityHub',
physical_resource_id=custom_resources.PhysicalResourceId.from_response('StandardsSubscriptions.StandardsArn'),
parameters={
"StandardsSubscriptionRequests": [{
"StandardsArn": f"arn:aws:securityhub:{core.Stack.of(self).region}::standards/pci-dss/v/3.2.1"
}]
}
),
on_delete=custom_resources.AwsSdkCall(
action='batchDisableStandards',
service='SecurityHub',
physical_resource_id=custom_resources.PhysicalResourceId.from_response('StandardsSubscriptions.StandardsArn'),
parameters={
"StandardsSubscriptionArns": [
f"arn:aws:securityhub:{core.Stack.of(self).region}::standards/pci-dss/v/3.2.1"
]
}
)
)
return pci_standards_set
Мы ценим любые предложения