Identity and Access Management

Как использовать CDK без использования CDKToolkit

Мы используем CDK для создания инфраструктуры в среде AWS заказчика.Однако создание IAM-ресурсов в среде AWS клиента запрещено.

Поэтому CDKToolkit не может быть развернут,поскольку CDKToolkit в CDK v2 содержит ресурсы IAM.

Есть ли способ использовать CDK без CDKToolkit или в стеке без включения IAM в CDKToolkit?

Вероятно,лучше всего предоставить клиентам шаблон CloudFormation,который они смогут использовать для загрузки учетной записи для вас.Следующая команда создаст шаблон загрузки CDK (примечание:неплохо добавить классификатор к набору инструментов,чтобы не конфликтовать с другими наборами инструментов в той же учетной записи)

cdk bootstrap --qualifier acme-corp --show-template > bootstrap-template.yaml

Есть 4 необходимые роли (deployment,file asset,image asset и cloudformation exec).CDK будет искать эти роли по их именам.Принципал,с которым вы аутентифицируетесь в учетной записи клиента,должен иметь доступ к роли развертывания.

Обратите внимание,что роль cloudformation exec по умолчанию имеет чрезмерный доступ.

Но , если вы действительно хотите обойти это, я бы посмотрел на создание собственного синтезатора. Я никогда не делал этого раньше, но я думаю, что вы можете установить все 4 роли в качестве одного и того же принципала, к которому у вас уже есть доступ: https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html#bootstrapping -пользовательский синтезатор




Привет, спасибо за ваш вопрос. Что вы можете сделать, так это настроить шаблоны, которые вы развертываете, используя CDK. Например, обратитесь к руководству по начальной загрузке: https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html Вы можете получить bootstrap-template.yaml с помощью этой команды:

cdk bootstrap --show-template > bootstrap-template.yaml

Затем вы можете отредактировать файл bootstrap-template.yaml в соответствии с вашими потребностями и развернуть его самостоятельно. Если вы решите создать эти роли самостоятельно, вы можете сослаться на них в шаблоне CloudFormation.



ELI5:AWS CLI и SSO
Ошибка при запуске AWS CloudShell:"Невозможно запустить среду"
какие учетные данные необходимы для использования роли only при чтении журналов из aws cloudwatch