0
を削除からすべてのユーザーを防ぐ:cloudformationスタックを削除しようとしましたが、私はこのIAMポリシーを持っている特定のcloudformationスタック
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"cloudformation:UpdateStack",
"cloudformation:DeleteStack"
],
"Resource": "MystackARN"
}
]
}
私はそれをテストするために、私のユーザーにそれを取り付けた後、私はこのエラーを得た:
Failed to delete stack: User: arn:aws:iam::accountId:user/me is not authorized to perform: cloudformation:DeleteStack on resource: arn:aws:cloudformation:eu-west-1:stackARN
ポリシー内で指定されたスタックを削除しようとすると、このエラーが表示されます。
AWS CLI
を使用して、このポリシーを私以外のすべてのユーザー(スタック所有者)に追加する方法はありますか?
OR:
私(スタックの所有者)以外のすべてのユーザーからの許可DeleteStack
を削除する方法はありますか?
私はこの試みた:
aws iam attach-user-policy --policy-arn arn:aws:iam::AccountId:policy/cfn-policy --user-name arn:aws:iam::AccountId:user/*
をしかし、それは動作しませんでした。
私はスタックを保護するためにこの戦略を適用しました。それは非常にうまく動作しています。しかし、私は質問があります。新しいAWSユーザーを追加するとどうなりますか?そのユーザーはスタックを削除/更新できます。回避策はありますか? – Somar
ユーザーを正しいグループに追加します。デフォルトではIAMユーザーは権限を持っていないので、 – Raf