AWS CloudFormationテンプレート

Question

私は私の質問は、*として挙げたパラメータをリソースに関連さ

Policies: 
    - PolicyName: InstanceIAMPolicy 
     PolicyDocument: 
     Version: 2012-10-17 
     Statement: 
      - Effect: Allow 
      Action: 
       - 'ssm:DescribeAssociation' 
       - 'ssm:GetDeployablePatchSnapshotForInstance' 
       - 'ssm:GetDocument' 
       - 'ssm:GetManifest' 
       - 'ssm:GetParameters' 
       - 'ssm:ListInstanceAssociations' 
       - 'ssm:PutComplianceItems' 
       - 'ssm:PutConfigurePackageResult' 
       - 'ssm:UpdateAssociationStatus' 
       - 'ssm:UpdateInstanceAssociationStatus' 
       - 'ssm:UpdateInstanceInformation' 
      Resource: '*' 
      Effect: Allow 
      Action: 
       - 'ec2messages:AcknowledgeMessage' 
       - 'ec2messages:FailMessage' 
       - 'ec2messages:GetEndpoint' 
       - 'ec2messages:GetMessages' 
       - 'ec2messages:SendReply' 
      Resource: '*' 

以下の方針を理解しようとしています。つまり、AWSインフラストラクチャ内のどのリソースでもアクションを実行できますか？私はCloudFormationテンプレートとAWSが本当に新しいです。ご協力いただきありがとうございます。

Answer 1

短い答えは「はい」です。

テンプレートには、ステートメントの下に2つのセクションがあります。各セクションは "許可"アクションを定義しています。各セクションについて、すべてのリソースに対してAPIを「許可」します。最初のセクションはSSM用で、2番目のセクションはSSM EC2Messages用です。

注：許可アクションに基づいて、これら2つのセクションをマージすることができます。

このリンクは、CloudFormationテンプレートをお届けします。あなたの質問で

Working with AWS CloudFormation Templates

Answer 2

CloudFormationテンプレートは、IAMポリシーを作成しています。あなたの質問は、実際にIAMポリシーでワイルドカードがどのように機能するかについてです。 *wildcard in an IAM policyResource要素は、このIAMポリシーが適用されたものが、AWSアカウントの任意のリソースに対してリストされたアクションを実行できることを意味します。

このポリシーは、EC2インスタンスプロファイルに適用され、AWS SSMエージェントがそのEC2インスタンス上でSSMタスクを実行できるようにするポリシーのようです。 theeリソースは*ワイルドカードとして指定されているので、SSMエージェントは、たとえば、送信するSSMドキュメントをダウンロードできます（ssm:GetDocument）。これにより、基本的にSSMエージェントがEC2インスタンス上で正しく動作するようになります。将来、それを起動するたびに、必要なそれぞれの機能に特定のアクセス権を与える必要はありません。