Permissions 是否有一个工具可以告诉我创建Cloudformation模板需要哪些权限？

我的团队正在尝试将我们的服务及其基础架构模板化

我们发现，确定执行或更新给定Cloudformation模板所需的权限集非常耗时。我们的过程是：

创建具有权限的用户

cloudformation:CreateStack

和/或

cloudformation:UpdateStack

让该用户尝试创建/更新指定的堆栈

观察哪个缺少的权限导致堆栈操作失败

向用户添加该权限

去2号

另一种方法是创建一个拥有无限权限的“上帝用户”，并让该用户执行创建/更新-这似乎违反了

---

或者，是否有一个工具可以列出“给定用户在过去N分钟内行使了哪些权限？”。如果存在这样一个工具，我们可以创建“上帝用户”，让他们执行模板，然后创建一个范围更有限的用户，该用户拥有上帝用户使用过的权限。

没有简单的方法/工具可以做到这一点

以下是一些您可以尝试的方法-

使用具有管理员权限的用户创建堆栈。完成后，等待15-20分钟，等待CloudTrail填充。现在在CloudTrail中列出由“事件源”-“cloudformation.amazonaws.com”进行的API调用。这大概就是所需的所有API调用。当您继续向资源添加功能时，可能还需要一些其他操作的调用。同样，你需要用这种方法来解决这个问题

创建，并将管理员权限添加到此角色。使用此角色创建/更新/删除堆栈。仅允许IAM用户使用IAM:PassRole和cloudformation:*。但是，用户将能够使用CFN创建不同的资源

使用服务目录并创建产品。服务目录产品是可以由特定用户/角色/组启动的CFN模板。用户不需要权限来创建/修改堆栈/产品中的资源。此外，最终用户无法更改产品以添加更多资源。这里有一个很好的视频来解释这件事：

---

希望这有帮助……

这看起来像是