মেঘডোমফর্মেশন কোনও বিদ্যমান নীতিকে উল্লেখ করে আমি কী একটি নতুন ভূমিকা তৈরি করতে পারি?

এই মুহুর্তে আমার কাছে একটি শেয়ার্ড এস 3 বালতি রয়েছে যা বিভিন্ন দৃষ্টান্তের জন্য নির্দিষ্ট কী পাথগুলিতে (যেমন ফোল্ডারগুলি) নির্দিষ্ট অ্যাক্সেস পেয়ে থাকে। আমি আমার নতুন ভূমিকা দিয়ে উদাহরণ প্রোফাইল তৈরি করতে সক্ষম হয়েছি এবং সেই ফোল্ডারে অ্যাক্সেস সীমাবদ্ধ করতে কোনও সমস্যা পরীক্ষা করতে সক্ষম হয়েছি।

আমার সমস্যাটি হ'ল সংজ্ঞায়িত নীতিমালাগুলির সাথে একটি বিদ্যমান জেনেরিক ভূমিকা রয়েছে, যা আমি প্রতিটি স্ট্যাকের জন্য আমার নতুন ভূমিকায় অন্তর্ভুক্ত করতে সক্ষম হতে চাই।

মেঘের গঠনে নীতি দস্তাবেজের নতুন ভূমিকাটিতে নতুন সংজ্ঞা না দিয়েই কোনও ভূমিকাতে সংজ্ঞায়িত নীতিগুলি অন্য ভূমিকায় অন্তর্ভুক্ত করা সম্ভব?

নিম্নলিখিত মত কিছু:

"AppTierS3AccessRole": {
        "Type": "AWS::IAM::Role",
        "Properties": {
            "AssumeRolePolicyDocument": {
                "Statement": [
                    {
                        "Effect": "Allow",
                        "Principal": {
                            "Service": [ "ec2.amazonaws.com" ]
                        },
                        "Action": [ "sts:AssumeRole" ]
                    }
                ]
            },
            "Path": "/",
            "Policies": [ { "Ref": "existing-policy" } ]
        }
    },

"বিদ্যমান নীতি" এখানে গুরুত্বপূর্ণ অংশ being আমি এটি ব্যবহার করার জন্য রেফারেন্সটি ব্যবহার করার জন্য বিদ্যমান নীতিটি দেখতে চেষ্টা করেছি তবে আমি কিছুটা আটকেছি।

src: https://docs.aws.amazon.com/AWSCloud Formation/latest/UserGuide/ aws- resource-iam- role.html

AWS::IAM::Roleধরনের এখন একটি আছে ManagedPolicyArnsক্ষেত্র যেখানে আপনি এই সেট করতে পারেন। আপনাকে কেবল এআরএন দখল করতে হবে (আইএএম কনসোল থেকে সহজে ধরে নেওয়া) এবং এটি সেই ফিল্ডে রাখা উচিত। নীচের উদাহরণে আমি এমন একটি ভূমিকা তৈরি করেছি যা কেবল পঠনযোগ্য ECR অ্যাক্সেস সরবরাহ করে যাতে আমার চিত্রটি ECR থেকে ডকার পাত্রে টানতে পারে।

  ecrRole:
    Type: AWS::IAM::Role
    Properties:
      Path: "/"
      ManagedPolicyArns:
        - "arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly"
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
        - Effect: Allow
          Principal:
            Service:
            - ec2.amazonaws.com
          Action:
          - sts:AssumeRole

পরিচালিত নীতিগুলি ব্যবহার করে আপনি এটি অর্জন করতে পারেন । আপনি কোনও গ্রাহক পরিচালিত নীতিতে যে সংজ্ঞায়িত নীতিটি ভাগ করতে চান তা রাখুন, তারপরে আপনি যেখানে এটি ব্যবহার করতে চান সেই ভূমিকাটির সাথে সেই সংজ্ঞায়িত নীতিটি সংযুক্ত করুন। আপনার পরিচালিত নীতিতে ভবিষ্যতের যে কোনও পরিবর্তন পরিচালিত নীতি সংযুক্ত থাকা সমস্ত ভূমিকার সাথে সাথেই প্রয়োগ করা হবে।

আপনি হয় AWS :: আইএএম :: ম্যানেজডপলিসি রিসোর্সের মাধ্যমে ক্লাউডফর্মেশনে গ্রাহক পরিচালিত নীতি তৈরি করতে পারেন বা বিদ্যমান পরিচালিত নীতিটি সংযুক্ত করতে পারেন।

@ মার্কাস্কের উত্তরটি প্রসারিত করতে পুনরায়: পরিচালিত নীতিগুলি - হ্যাঁ, তা।

উদাহরণ:

"ManagedPolicy": {
  "Type": "AWS::IAM::ManagedPolicy",
  "Properties": {
    "Description": "something descriptive",
    "Groups": [ ... ref(s) for groups ... ],
    "Roles: [{"Ref":"AppTierS3AccessRole"}],
    "Users": [ ... ref(s) for users ... ],
    "PolicyDocument": {
      "Version": "2012-10-17",
      "Statement": [
        ...
      ]
    }
  }
}

না, আপনি এই মুহুর্তে অন্য একটি ভূমিকাতে একটি ভূমিকা এম্বেড করতে পারবেন না। আমি ভাবতে পারি যে বিকল্পগুলি হ'ল:

• এডাব্লুএস :: আইএএম :: ইনস্ট্যান্সপ্রোফাইলে একটি নতুন উদাহরণ প্রোফাইল তৈরি করুন এবং এটিতে বিদ্যমান জেনেরিক ভূমিকাটি নির্ধারণ করুন।
• আপনার ক্লাউডফর্মেশন স্ট্যাক তৈরি করার আগে, এমন একটি স্ক্রিপ্ট চালান যা জেনেরিক ভূমিকার নকল করে। উদাহরণস্বরূপ এটি একটি নতুন ভূমিকা তৈরি করে, বিদ্যমান জেনেরিক ভূমিকার জন্য সমস্ত নীতি তালিকাভুক্ত করে এবং এটিকে নতুন ভূমিকাতে পুনরায় তৈরি করে। তারপরে, আপনি আপনার টেম্পলেটে একটি নতুন এডাব্লুএস :: আইএএম :: ইনস্ট্যান্সপ্রোফাইল রিসোর্সে নতুন ভূমিকাটি নির্ধারণ করতে পারেন এবং এটি আপনার ইসি 2 উদাহরণ (গুলি) বা লঞ্চ কনফিগারেশনের জন্য ব্যবহার করতে পারেন।