Для небольших шаблонов CloudFormation и CodePipeline мы можем «попробовать - протестировать», чтобы получить минимальную привилегию IAM Policy для требуемых ролей.Наименьшая привилегия Политика AWS IAM для cloudformation
Это, как правило, включает в себя:
- Начиная с минимальной политикой
- Создание стека
- Он терпит неудачу с - стек не имеет права на someService: SomeAction
- Добавьте действие службы в политика
- стопка обновлений и еще раз.
Этот подход слишком трудоемкий для больших шаблонов CloudFormation.
Как вы разрабатываете Политика минимального доступа IAM?
Идеи:
Allow «*», а затем соскрести cloudtrail для событий и строить карты для перечисленных событий в эквивалентные роли - то уменьшить роль только те, которые перечислены в журналах cloudtrail.
Если вы можете выделить действия вплоть до имени пользователя, это поможет
Advisor доступа