【发布时间】:2021-12-05 08:54:27
【问题描述】:
我有一个 IAM 角色,该角色手动附加了一个策略,赋予它比应有更大的权限。
我决定在角色所属的堆栈上运行漂移分析,看看是否有任何其他手动更改实例。
尽管this 页面说 IAM 角色与漂移检测兼容,但结果并未显示该角色附加了额外的策略。
这是 CloudFormation 应该采用的东西吗?
【问题讨论】:
-
CloudFormation(和漂移检测)在检测和更重要的是修复对其资源的外部更改方面非常糟糕。不幸的是,除了编写大量自定义代码来检测和修复这些更改之外,您无能为力,这完全违背了拥有 IaC 工具的初衷。看看“官方”修复漂移的方法:aws.amazon.com/blogs/mt/…(再次在 python 中实现所有内容)
-
进展如何?仍然不清楚发生了什么?
-
还没来得及正确检查它,但托管策略听起来可能是前进的方向。也许我只是有点乐观,它应该能够计算出附加的策略数量大于模板中的数量。完全测试后会更新
-
没问题。你的测试怎么样?
标签: amazon-web-services amazon-cloudformation amazon-iam