为什么在创建资源并指定角色时创建Cloudformation堆栈时出现错误?

0

【以下的问题经过翻译处理】 我正在探索如何通过在创建堆栈时指定角色来委派Cloudformation权限给其他用户。我注意到一些资源,如VPC、IGW和EIP,可以创建,但会提示错误。堆栈创建后,也无法通过堆栈回退或删除删除已创建的资源。

例如,以下简单的模板创建了一个VPC:

Resources:
  VPC:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 10.3.9.0/24

我实际上已经创建了一个角色,在创建堆栈时指定了策略,允许了我通过使用athena查询cloudtrail收集的许多操作。以下部分已经包含:

"ec2:CreateVpc","ec2:DeleteVpc","ec2:ModifyVpcAttribute"

但是,在创建期间发生了以下情况:

资源处理程序返回信息:“您未被授权执行此操作。(服务:Ec2,状态代码:403,请求ID:bf28db5b-461e-48ff-9430-91cc05be77ef)”(请求令牌:bc6c6c87-a616-2e94-65eb-d4e5488a499a,处理程序错误代码:AccessDenied)

看起来有一些回调机制被使用?VPC实际上已经被创建了。删除也失败了,但没有成功执行。

资源处理程序返回信息:“您未被授权执行此操作。(服务:Ec2,状态代码:403,请求ID:f1e43bf1-eb08-462a-9788-f183db2683ab)”(请求令牌:80cc5412-ba28-772b-396e-37b12dbf8066,处理程序错误代码:AccessDenied)

有关此问题的任何提示吗?谢谢。

profile picture
专家
已提问 10 个月前25 查看次数
1 回答
0

【以下的回答经过翻译处理】 我的建议是使用CloudTrail并查找CloudFormation正在发出的呼叫以及随后被拒绝的呼叫 - CloudTrail将揭示被拒绝的详细信息。

我还要补充,您可能需要查看服务目录和【启动限制条件】(https://docs.aws.amazon.com/servicecatalog/latest/adminguide/constraints-launch.html)作为允许“其他”用户提供批准产品的方法。对使用的模板有更多的控制权,并能够在组织中共享。有一个【研讨会】(https://catalog.us-east-1.prod.workshops.aws/workshops/d40750d7-a330-49be-9945-cde864610de9/en-US/1core)演示这些功能。

profile picture
专家
已回答 10 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则