【以下的问题经过翻译处理】 我正在探索如何通过在创建堆栈时指定角色来委派Cloudformation权限给其他用户。我注意到一些资源,如VPC、IGW和EIP,可以创建,但会提示错误。堆栈创建后,也无法通过堆栈回退或删除删除已创建的资源。
例如,以下简单的模板创建了一个VPC:
Resources:
VPC:
Type: AWS::EC2::VPC
Properties:
CidrBlock: 10.3.9.0/24
我实际上已经创建了一个角色,在创建堆栈时指定了策略,允许了我通过使用athena查询cloudtrail收集的许多操作。以下部分已经包含:
"ec2:CreateVpc","ec2:DeleteVpc","ec2:ModifyVpcAttribute"
但是,在创建期间发生了以下情况:
资源处理程序返回信息:“您未被授权执行此操作。(服务:Ec2,状态代码:403,请求ID:bf28db5b-461e-48ff-9430-91cc05be77ef)”(请求令牌:bc6c6c87-a616-2e94-65eb-d4e5488a499a,处理程序错误代码:AccessDenied)
看起来有一些回调机制被使用?VPC实际上已经被创建了。删除也失败了,但没有成功执行。
资源处理程序返回信息:“您未被授权执行此操作。(服务:Ec2,状态代码:403,请求ID:f1e43bf1-eb08-462a-9788-f183db2683ab)”(请求令牌:80cc5412-ba28-772b-396e-37b12dbf8066,处理程序错误代码:AccessDenied)
有关此问题的任何提示吗?谢谢。