Identity and Access Management

CDKToolkit을 사용하지 않고 CDK를 사용하는 방법

CDK를 사용하여 고객의 AWS 환경에 인프라를 구축합니다. 단, 고객의 AWS 환경에서 IAM 리소스를 생성하는 것은 금지되어 있습니다.

따라서 CDK v2의 CDKToolkit에 IAM 리소스가 포함되어 있으므로 CDKToolkit을 배포할 수 없습니다.

CDKToolkit 없이 또는 CDKToolkit에 IAM을 포함하지 않고 스택에서 CDK를 사용할 수 있는 방법이 있습니까?

아마도 가장 좋은 방법은 고객에게 계정을 부트스트랩하는 데 사용할 수 있는 CloudFormation 템플릿을 제공하는 것입니다. 다음 명령은 CDK 부트스트랩 템플릿을 생성합니다(참고: 동일한 계정의 다른 툴킷과 충돌하지 않도록 한정자를 툴킷에 추가하는 것이 좋습니다)

cdk bootstrap --qualifier acme-corp --show-template > bootstrap-template.yaml

4가지 필수 역할(배포, 파일 자산, 이미지 자산 및 Cloudformation exec)이 있습니다. CDK는 이러한 역할을 이름으로 조회합니다. 클라이언트 계정에 인증하는 보안 주체는 배포 역할을 맡을 수 있는 액세스 권한이 있어야 합니다.

cloudformation exec 역할에는 기본적으로 과도한 액세스 권한이 있습니다.

그러나 이 문제를 해결하려면 사용자 지정 신디사이저를 만드는 방법을 살펴보겠습니다. 나는 이것을 한 적이 없지만 4가지 역할을 모두 이미 액세스 권한이 있는 동일한 보안 주체로 설정할 수 있다고 생각합니다. https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html#bootstrapping -커스텀 신디사이저




안녕하세요, 질문해주셔서 감사합니다. CDK를 사용하여 배포 중인 템플릿을 사용자 지정할 수 있습니다. 예를 들어 부트스트랩 가이드를 참조하십시오. https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html 다음 명령을 사용하여 bootstrap-template.yaml 을 가져올 수 있습니다 .

cdk 부트스트랩 --show-template > bootstrap-template.yaml

그런 다음 필요에 따라 bootstrap-template.yaml 파일을 편집하고 직접 배포할 수 있습니다. 이러한 역할을 직접 생성하기로 선택한 경우 CloudFormation 템플릿에서 참조할 수 있습니다.