Я пытаюсь выполнить стек облачной информации, который содержит следующие ресурсы:
- Проект Codebuild
- Конвейер Codepipeline
- Необходимые роли
При попытке выполнить стек происходит сбой со следующей ошибкой:
arn: aws: iam :: ACCOUNT_ID: role / CodePipelineRole не авторизован для выполнения AssumeRole над ролью arn: aws:iam :: ACCOUNT_ID: role / CodePipelineRole (Служба: AWSCodePipeline; Код состояния: 400; Код ошибки: InvalidStructureException; Идентификатор запроса: 7de2b1c6-a432-47e6-8208-2c0072ebaf4b)
Я создал роль, используяуправляемая политика, но я уже пробовал использовать обычную политику, и она тоже не работает.
Это политика ролей:
CodePipelinePolicy:
Type: AWS::IAM::ManagedPolicy
Properties:
Description: 'This policy grants permissions to a service role to enable Codepipeline to use multiple AWS Resources on the users behalf'
Path: "/"
PolicyDocument:
Version: "2012-10-17"
Statement:
- Resource: "*"
Effect: "Allow"
Condition: {}
Action:
- autoscaling:*
- cloudwatch:*
- cloudtrail:*
- cloudformation:*
- codebuild:*
- codecommit:*
- codedeploy:*
- codepipeline:*
- ec2:*
- ecs:*
- ecr:*
- elasticbeanstalk:*
- elasticloadbalancing:*
- iam:*
- lambda:*
- logs:*
- rds:*
- s3:*
- sns:*
- ssm:*
- sqs:*
- kms:*
Это роль
CodePipelineRole:
Type: "AWS::IAM::Role"
Properties:
RoleName: !Sub ${EnvironmentName}-CodePipelineRole
AssumeRolePolicyDocument:
Version: '2012-10-17'
Statement:
- Action:
- 'sts:AssumeRole'
Effect: Allow
Principal:
Service:
- codepipeline.amazonaws.com
Path: /
ManagedPolicyArns:
- !Ref CodePipelinePolicy
Что меня больше всего заинтриговало, так это то, что CodePipelineRole, похоже, пытается присвоить себе.Я не понимаю, что здесь может происходить.
И когда я устанавливаю действие политики на *, оно работает!Я не знаю, какие разрешения могут отсутствовать.
Спасибо