Identity and Access Management

CDKToolkitを使用せずにCDKを使用する方法

お客様のAWS環境にインフラを構築するためにCDKを使用します。ただし、お客様のAWS環境にIAMリソースを作成することは禁止されています。

そのため、CDK v2 の CDKToolkit には IAM リソースが含まれているため、CDKToolkit をデプロイすることはできません。

CDKToolkitなしで、またはCDKToolkitにIAMを含めずにスタックでCDKを使用する方法はありますか?





おそらく一番良いのは、クライアントがあなたのためにアカウントをブートストラップするために使用できるCloudFormationテンプレートを提供することでしょう。次のコマンドは、CDKブートストラップテンプレートを生成します(注意:同じアカウント内の他のツールキットと競合しないように、ツールキットに修飾語を追加するのは良いアイデアです)。

cdk bootstrap --qualifier acme-corp --show-template > bootstrap-template.yaml

必要なロールは4つです(デプロイメント、ファイルアセット、イメージアセット、cloudformation exec)。CDKはこれらのロールをその名前で検索します。クライアントのアカウントに認証するプリンシパルが何であれ、デプロイメントロールを引き受けるためのアクセス権を持っていなければなりません。

cloudformation execロールは、デフォルトで過剰なアクセス権を持っていることに注意してください。

しかし、これを回避する方法が本当に必要な場合は、カスタムシンセサイザーの作成を検討します。これまでにこれを行ったことはありませんが、4つのロールすべてを、すでにアクセスできる同じプリンシパルに設定できると思います:https ://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html#bootstrapping -カスタムシンセ




こんにちは、ご質問ありがとうございます。できることは、CDKを使用してデプロイするテンプレートをカスタマイズすることです。たとえば、ブートストラップガイドを参照してください。https ://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html次のコマンドを使用して、 bootstrap-template.yaml を取得できます。

cdk bootstrap --show-template > bootstrap-template.yaml

bootstrap-template.yaml ファイルを編集し、自分でデプロイできます。これらのロールを自分で作成することを選択した場合は、CloudFormationテンプレートでそれらを参照できます。



aws cloudwatchからログを読み込む際に、ロールのみを使用するために必要な認証情報は何ですか?
ELI5:AWS CLIとSSO
AWS CloudShell起動時のエラー。"環境を起動できない"