Каковы лучшие практики для стеков CloudFormation, которые создают пользователей IAM? Я создаю API, который будет автоматически добавлять клиентов в один из наших сервисов, т. Е. Он использует шаблон CloudFormation для создания сегментов, записей динамо-базы данных, пользователя IAM и т. Д.
Вы отправляете POST-вызов на маршрут с определенными параметрами в вызове, и он создаст клиента и все, что ему нужно; однако из-за проблем с безопасностью я не хочу, чтобы у лямбда-роли были разрешения IAM. Мы очень серьезно относимся к созданию пользователей IAM, поскольку это всегда может иметь отрицательный оттенок.
Есть ли способ, которым я мог бы создать стек CloudFormation, но для его создания требуется разрешение администратора? Я заметил, что нет способа «задержать» стек для утверждения от другого объекта, который имеет правильные разрешения, так как для стеков, которые должны быть созданы в первую очередь, должны быть надлежащие политики для объекта, создающего его.
Итак, в общем, отправьте запрос POST на URL, который создает стек, требующий одобрения администратора с соответствующими разрешениями для активации создания.
Я начинаю верить, что это невозможно, так каковы некоторые рекомендации?
Мы подумали о некоторых других методах:
- Вызов API загружает сгенерированный шаблон CloudFormation в s3, затем администраторы вручную создают стек с URL-адресом объекта
- Измените шаблон CloudFormation, чтобы удалить раздел IAM, и попросите администраторов создать эту часть вручную
В любом случае, это отчасти отнимает аспект "автоматизации".
Есть мысли?