(Программно) выведите необходимые разрешения AWS IAM, необходимые для развертывания шаблона AWS

Question

Я работаю над автоматическим конвейером (с использованием Jenkins), который развертывает шаблоны AWS Cloudformation, находящиеся в git-репозитории, в AWS.

У меня есть рабочий конвейер, который работает от пользователя AWS IAM, чьи ключи доступаиспользуются заданием Jenkins для общения с AWS Cloudformation API.

Проблема, с которой я сталкиваюсь, заключается в том, что желательно, чтобы у этого пользователя IAM было как можно меньше разрешений, но у него должно быть достаточно разрешений как длячтобы получить доступ к API-интерфейсу Cloudformation, а также для создания ресурсов, для которых у меня есть шаблоны.

Чтобы определить этот минимальный набор разрешений, у меня вопрос: есть ли приложение, пакет или утилита AWS (я не былеще не смог найти), чтобы вывести разрешения IAM, необходимые для выполнения заданного (набора) шаблонов облачной информации, которые предпочтительно можно использовать программно.

Заранее благодарен за любое предложение!

Answer 1

Это было бы очень приятно, но по какой-то причине Amazon не хочет предоставлять API для проверки этого.

Один хакерский способ подойти к этому может состоять в том, чтобы снова и снова запускать шаблон облачной информации и проверять выходные данные на предмет отсутствия разрешений.Затем вы добавляете их каждый раз во временную роль IAM и повторяете до тех пор, пока не получите все разрешения для запуска шаблона.Это может занять довольно много времени, но может быть единственным реальным способом программного подхода к этому.