AWS Cloud Formation Упругая балансировка нагрузки ID учетной записи

Question

Я пытаюсь создать шаблон с облачным формированием, который устанавливает балансировщик нагрузки, который записывает журналы в ведро S3. Вместо того чтобы дать полный доступ к всем (например, *), я хочу, чтобы ограничить доступ к PutObject только балансировки нагрузки счета или услуги:

{ 
    "Resources": { 
    "LoggingBucketPolicy": { 
     "Type": "AWS::S3::BucketPolicy", 
     "Properties": { 
     "Bucket": { 
      "Ref": "LoggingBucket" 
     }, 
     "PolicyDocument": { 
      "Action": [ 
      "s3:PutObject" 
      ], 
      "Effect": "Allow", 
      "Resource": { 
      "Fn::Join": [ 
       "", 
       [ 
       "arn:aws:s3:::", 
       { 
        "Ref": "LoggingBucket" 
       }, 
       "/*" 
       ] 
      ] 
      }, 
      "Principal": { 
      "Ref": "ElasticLoadBalancingAccountID" //How do I set this dynamically? 
      } 
     } 
     } 
    } 
    } 
} 

documentation предоставляет счета идентификаторы экземпляров Elb в различных регионах. Однако шаблон, который я создаю, имеет параметр зоны доступности, в котором пользователь может выбрать зону доступности для развертывания стека. Поэтому мне хотелось бы, чтобы в моей политике ведра была какая-то переменная ref, которая получает идентификатор учетной записи балансировки нагрузки на основе зоны доступности.

Я также рассмотрел примеры в official documentation, но один пример, который использует Ref, на самом деле не определяет переменную.

Как это достичь?

Редактировать: Я имел в виду зоны доступности вместо региона. Входной параметр предоставляет пользователю возможность сброса зон доступности в регионе.

Answer 1

Нет переменной, включающей идентификаторы учетных записей ELB. Это различные идентификаторы учетной записи AWS.

Чтобы включить их в вашей политике, вы должны либо:

1. жесткий код эти идентификаторы учетных записей,
2. использовать входные переменные в шаблоне для них, или
3. попробуйте использовать CloudFormation «на карте ", чтобы настроить карту списка регистровых идентификаторов, затем выберите соответствующий список, используя переменную AWS::Region.

Answer 2

Я понял. Это не очень динамично, но лучше, чем просто hardcoding id напрямую. Согласно this Amazon re-invent presentation, правильный способ является первым определить отображение:

{ 
    "Mappings": { 
    "RegionalConfigs": { 
     "us-east-1": { 
     "AMI": "", 
     "ELBAccountId": "127311923021", 
     "ArnPrefix": "arn:aws:" 
     }, 
     "us-west-1": { 
     "AMI": "", 
     "ELBAccountId": "027434742980", 
     "ArnPrefix": "arn:aws:" 
     }, 
     "us-west-2": { 
     "AMI": "", 
     "ELBAccountId": "797873946194", 
     "ArnPrefix": "arn:aws:" 
     } 
    } 
    } 
} 

, а затем использовать его в политике:

{ 
    "Resources": { 
    "LoggingBucketPolicy": { 
     "Type": "AWS::S3::BucketPolicy", 
     "Properties": { 
     "PolicyDocument": { 
      "Version": "", 
      "Resource": { 
      "Fn::Join": [ 
       "", 
       [ 
       { 
        "Fn::FindInMap": [ 
        "RegionalConfigs", 
        { 
         "Ref": "AWS::Region" 
        }, 
        "ArnPrefix" 
        ] 
       }, 
       "s3:::", 
       { 
        "Ref": "LoggingBucket" 
       }, 
       "/", 
       "Logs", 
       "/AWSLogs/", 
       { 
        "Ref": "AWS::AccountId" 
       }, 
       "/*" 
       ] 
      ] 
      }, 
      "Principal": { 
      "AWS": { 
       "Fn::FindInMap": [ 
       "RegionalConfigs", 
       { 
        "Ref": "AWS::Region" 
       }, 
       "ELBAccountId" 
       ] 
      } 
      }, 
      "Action": [ 
      "s3:PutObject" 
      ] 
     }, 
     "Bucket": { 
      "Ref": "LoggingBucket" 
     } 
     } 
    } 
    } 
}