是否有一种方法可以在AWS中定义权限/策略/角色,从而仅使用特定模板(在S3上已更新)来创建CloudFormation Stack?
我看过AWS Service Roles,但我认为这不是我想要的。实际上,我看不出使用它的好处(就安全性而言)。如果用户不能直接创建资源,但是同一用户可以通过CloudFormation创建资源,那么好处在哪里?
但是,如果有一种方法可以限制可使用的模板,那么它将增加安全性,因为您可以定义可以创建哪些资源,而无需具有特定角色来通过权限来定义权限。堆栈的资源。
您应该看一下service catalog。
通过使用此服务,您可以定义并连接可用于生成CloudFormation堆栈的模板,而无需授予团队成员创建CloudFormation堆栈的权限。
没有这个,没有直接的解决方案来限制仅特定来源对CloudFormation创建的访问。