Набор изменений CloudFormation Пользователь не авторизован

Question

Я пытаюсь опубликовать Ams-лямбду в своей учетной записи AWS-клиента, однако я получаю это сообщение об ошибке.

Error creating CloudFormation change set: User: arn:aws:iam::xxxxxx:user/testuser is not authorized to perform: cloudformation:CreateChangeSet on resource: arn:aws:cloudformation:eu-west-1:xxxx:stack/test-Stack/*

Когда я тестировал на своей учетной записи, я добавил своего пользователя IAM с политикой «AdministratorAccess», которая в основном разрешает все.

Я проверил политики, есть только «CloudFormationReadonlyAccess»но это не позволяет писать / удалять.Какую политику я должен попросить моего клиента назначить пользователю IAM?

Я также попытался добавить к своей роли

"cloudformation:CreateStack",
"cloudformation:CreateChangeSet",
"cloudformation:ListStacks",
"cloudformation:UpdateStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackResource",
"cloudformation:DescribeStackEvents",
"cloudformation:ValidateTemplate",
"cloudformation:DescribeChangeSet",
"cloudformation:ExecuteChangeSet"

, но возникает та же ошибка.

Answer 1

Вам необходимо указать ресурс, на котором эти действия разрешены.Чтобы быть конкретным

      - Action:
        - cloudformation:CreateStack
        - cloudformation:DeleteStack
        - cloudformation:UpdateStack
        - cloudformation:DescribeStacks
        - cloudformation:DescribeChangeSet
        - cloudformation:CreateChangeSet
        - cloudformation:DeleteChangeSet
        - cloudformation:ExecuteChangeSet
        Effect: Allow
        Resource:
        - !Join
          - ':'
          - - arn
            - aws
            - cloudformation
            - !Ref 'AWS::Region'
            - !Ref 'AWS::AccountId'
            - !Join
              - /
              - - stack
                - test-stack
                - '*'

Также проверьте, что сервис sts: AssumeRole является cloudformation.amazonaws.com