Identity and Access Management

Wie man CDK ohne CDKToolkit verwendet

Wir verwenden CDK zum Aufbau der Infrastruktur in der AWS-Umgebung des Kunden.Es ist jedoch verboten,IAM-Ressourcen in der AWS-Umgebung des Kunden zu erstellen.

Daher kann CDKToolkit nicht bereitgestellt werden,da CDKToolkit in CDK v2 IAM-Ressourcen enthält.

Gibt es eine Möglichkeit,CDK ohne CDKToolkit oder im Stack zu verwenden,ohne IAM in CDKToolkit zu integrieren?





Wahrscheinlich ist es am besten,wenn Sie Ihren Kunden eine CloudFormation-Vorlage zur Verfügung stellen,mit der sie das Konto für Sie booten können.Der folgende Befehl generiert eine CDK-Bootstrap-Vorlage (Hinweis:Es ist ratsam,dem Toolkit einen Qualifier hinzuzufügen,um Konflikte mit anderen Toolkits im selben Konto zu vermeiden)

cdk bootstrap --qualifier acme-corp --show-template > bootstrap-template.yaml

Es gibt 4 erforderliche Rollen (deployment,file asset,image asset und cloudformation exec).CDK sucht nach diesen Rollen anhand ihrer Namen.Der Principal,mit dem Sie sich bei Ihrem Kundenkonto authentifizieren,muss Zugriff haben,um die Deployment-Rolle zu übernehmen.

Beachten Sie,dass die Rolle cloudformation exec standardmäßig übermäßigen Zugriff hat.

Aber wenn Sie wirklich einen Ausweg wollen, würde ich versuchen, einen benutzerdefinierten Synthesizer zu erstellen. Ich habe das noch nie zuvor gemacht, aber ich denke, Sie könnten alle 4 Rollen auf denselben Prinzipal festlegen, auf den Sie bereits Zugriff haben: https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html#bootstrapping -benutzerdefinierter Synth




Hallo, vielen Dank für Ihre Frage. Was Sie tun könnten, ist, die Vorlagen anzupassen, die Sie mithilfe des CDK bereitstellen. Siehe beispielsweise den Bootstrapping-Leitfaden: https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html Sie können die bootstrap-template.yaml mit diesem Befehl abrufen:

cdk bootstrap --show-template > bootstrap-template.yaml

bootstrap-template.yaml Ihren Anforderungen entsprechend bearbeiten und selbst bereitstellen. Wenn Sie diese Rollen selbst erstellen möchten, können Sie in der CloudFormation-Vorlage darauf verweisen.



Fehler beim Starten der AWS CloudShell:"Die Umgebung kann nicht gestartet werden"
Welche Anmeldeinformationen werden benötigt,um beim Lesen von Protokollen von aws cloudwatch nur die Rolle zu verwenden?
ELI5:AWS CLI und SSO