Fatal编程技术网

Amazon cloudformation 堆栈策略的云形成条件

amazon-cloudformation

Amazon cloudformation 堆栈策略的云形成条件,amazon-cloudformation,Amazon Cloudformation,有没有办法为堆栈策略创建条件 给定AWS文档中的简单CF模板: 我应该把以下条件放在哪里: "Condition" : "CreateProdResources" 感谢事实上,您需要区分三种不同的互不兼容的条件类型: 。由堆栈模板的条件部分中的项和引用该条件的资源中相应的条件键定义 元素/块。允许任何IAM策略根据指定的条件进一步限制权限 条件元素。允许堆栈策略仅应用于特定类型的资源 不能将#1类型的CloudFormation资源条件(例如CreateProdResources,它在堆栈模板

有没有办法为堆栈策略创建条件

给定AWS文档中的简单CF模板:

我应该把以下条件放在哪里:

"Condition" : "CreateProdResources"
感谢

事实上,您需要区分三种不同的互不兼容的
条件类型

  • 。由堆栈模板的
    条件
    部分中的项和引用该条件的资源中相应的
    条件
    键定义
  • 元素/块。允许任何IAM策略根据指定的条件进一步限制权限
  • 条件
    元素。允许堆栈策略仅应用于特定类型的资源
    • 不能将#1类型的CloudFormation资源条件(例如
    CreateProdResources
    ,它在堆栈模板中根据输入参数的值有条件地创建资源)添加到堆栈策略。这些只能在模板中定义

    也不能在堆栈策略中使用#2类型IAM策略条件;但是,您可以将IAM策略用作单独的安全层,以限制从CloudFormation创建/更新/删除资源的访问。有关如何使用IAM策略和堆栈策略以实现更高安全性的更多详细信息,请参阅博客文章

    您只能将#3类型条件添加到CloudFormation堆栈策略中,以使特定操作仅应用于该条件指定的资源类型。例如,要设置堆栈策略,禁止更新任何
    AWS::EC2::Instance
    AWS::RDS::DBInstance
    资源:

    {
  "Statement" : [
  {
    "Effect" : "Deny",
    "Principal" : "*",
    "Action" : "Update:*",
    "Resource" : "*",
    "Condition" : {
      "StringEquals" : {
        "ResourceType" : ["AWS::EC2::Instance", "AWS::RDS::DBInstance"]
      }
    }
  },
  {
    "Effect" : "Allow",
    "Principal" : "*",
    "Action" : "Update:*",
    "Resource" : "*"
  }
  ]
}
    实际上,您需要区分三种不同且互不兼容的
    条件类型

  • 。由堆栈模板的
    条件
    部分中的项和引用该条件的资源中相应的
    条件
    键定义
  • 元素/块。允许任何IAM策略根据指定的条件进一步限制权限
  • 条件
    元素。允许堆栈策略仅应用于特定类型的资源
    • 不能将#1类型的CloudFormation资源条件(例如
    CreateProdResources
    ,它在堆栈模板中根据输入参数的值有条件地创建资源)添加到堆栈策略。这些只能在模板中定义

    也不能在堆栈策略中使用#2类型IAM策略条件;但是,您可以将IAM策略用作单独的安全层,以限制从CloudFormation创建/更新/删除资源的访问。有关如何使用IAM策略和堆栈策略以实现更高安全性的更多详细信息,请参阅博客文章

    您只能将#3类型条件添加到CloudFormation堆栈策略中,以使特定操作仅应用于该条件指定的资源类型。例如,要设置堆栈策略,禁止更新任何
    AWS::EC2::Instance
    AWS::RDS::DBInstance
    资源:

    {
  "Statement" : [
  {
    "Effect" : "Deny",
    "Principal" : "*",
    "Action" : "Update:*",
    "Resource" : "*",
    "Condition" : {
      "StringEquals" : {
        "ResourceType" : ["AWS::EC2::Instance", "AWS::RDS::DBInstance"]
      }
    }
  },
  {
    "Effect" : "Allow",
    "Principal" : "*",
    "Action" : "Update:*",
    "Resource" : "*"
  }
  ]
}
    此页()显示如何在IAM策略中指定条件。这里()是一个S3示例。谢谢。所以答案是在每一个陈述中,我可以提出一个条件。这是一个陈述还是一个问题?IAM策略可以有一个或多个语句。每个语句都向不同的资源集授予权限,或在特定条件下授予权限。有关策略结构的更多详细信息,请参阅。此外,您还可以使用IAM策略模拟器进行测试。这里()是一个S3示例。谢谢。所以答案是在每一个陈述中,我可以提出一个条件。这是一个陈述还是一个问题?IAM策略可以有一个或多个语句。每个语句都向不同的资源集授予权限,或在特定条件下授予权限。有关策略结构的更多详细信息,请参阅。此外,您还可以使用IAM策略模拟器进行测试。