Набор изменений CloudFormation Пользователь не авторизован

Я пытаюсь опубликовать Ams-лямбду на моем клиентском аккаунте AWS, но получаю это сообщение об ошибке.

Error creating CloudFormation change set: User: arn:aws:iam::xxxxxx:user/testuser is not authorized to perform: cloudformation:CreateChangeSet on resource: arn:aws:cloudformation:eu-west-1:xxxx:stack/test-Stack/*

Когда я тестировал свою учетную запись, я добавил своего пользователя IAM с политикой "AdministratorAccess", которая в основном разрешает все.

Я проверил политики, есть только "CloudFormationReadonlyAccess", но они не позволяют писать / удалять. Какую политику я должен попросить моего клиента назначить пользователю IAM?

Я также попытался добавить к своей роли

"cloudformation:CreateStack",
"cloudformation:CreateChangeSet",
"cloudformation:ListStacks",
"cloudformation:UpdateStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackResource",
"cloudformation:DescribeStackEvents",
"cloudformation:ValidateTemplate",
"cloudformation:DescribeChangeSet",
"cloudformation:ExecuteChangeSet"

но такая же ошибка происходит.

Источник

0 ответов

Вам необходимо указать ресурс, на котором эти действия разрешены. Чтобы быть конкретным

      - Action:
        - cloudformation:CreateStack
        - cloudformation:DeleteStack
        - cloudformation:UpdateStack
        - cloudformation:DescribeStacks
        - cloudformation:DescribeChangeSet
        - cloudformation:CreateChangeSet
        - cloudformation:DeleteChangeSet
        - cloudformation:ExecuteChangeSet
        Effect: Allow
        Resource:
        - !Join
          - ':'
          - - arn
            - aws
            - cloudformation
            - !Ref 'AWS::Region'
            - !Ref 'AWS::AccountId'
            - !Join
              - /
              - - stack
                - test-stack
                - '*'

Также проверьте сервис sts:AssumeRole это cloudformation.amazonaws.com

Источник
Другие вопросы по тегам