Identity and Access Management

Comment utiliser CDK sans utiliser CDKToolkit ?

Nous utilisons CDK pour construire l'infrastructure dans l'environnement AWS du client.Cependant,il est interdit de créer des ressources IAM dans l'environnement AWS du client.

Par conséquent,CDKToolkit ne peut pas être déployé car CDKToolkit dans CDK v2 contient des ressources IAM.

Existe-t-il un moyen d'utiliser CDK sans CDKToolkit ou dans la pile sans inclure IAM dans CDKToolkit ?





La meilleure chose à faire est probablement de fournir à vos clients un modèle CloudFormation qu'ils peuvent utiliser pour amorcer le compte pour vous.La commande suivante génère un modèle de démarrage CDK (remarque:il est judicieux d'ajouter un qualificatif à la boîte à outils afin d'éviter tout conflit avec d'autres boîtes à outils dans le même compte).

cdk bootstrap --qualifier acme-corp --show-template > bootstrap-template.yaml

Il y a 4 rôles requis (déploiement,fichier actif,image active et cloudformation exec).CDK recherchera ces rôles par leur nom.Quel que soit le principal avec lequel vous vous authentifiez sur le compte de votre client,il doit avoir l'accès pour assumer le rôle de déploiement.

Notez que le rôle cloudformation exec a un accès excessif par défaut.

Mais , si vous voulez vraiment contourner cela, je chercherais à créer un synthétiseur personnalisé. Je n'ai jamais fait cela auparavant, mais je pense que vous pouvez définir les 4 rôles sur le même principal auquel vous avez déjà accès : https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html#bootstrapping -synthé personnalisé




Bonjour, merci pour votre question. Ce que vous pouvez faire, c'est personnaliser les modèles que vous déployez à l'aide du CDK. Par exemple, reportez-vous au guide d'amorçage : https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html Vous pouvez obtenir le bootstrap-template.yaml en utilisant cette commande :

cdk bootstrap --show-template > bootstrap-template.yaml

Vous pouvez ensuite éditer le fichier bootstrap-template.yaml selon vos besoins, et le déployer vous-même. Si vous choisissez de créer ces rôles vous-même, vous pouvez vous y référer dans le modèle CloudFormation.



Erreur lors du lancement de AWS CloudShell:"Impossible de démarrer l'environnement"
ELI5:AWS CLI et SSO
Quelles sont les informations d'identification nécessaires pour utiliser le rôle unique lors de la lecture des journaux à partir de aws cloudwatch ?