AWS CloudFormation 템플릿

Question

내가 아래 정책을

Policies: 
    - PolicyName: InstanceIAMPolicy 
     PolicyDocument: 
     Version: 2012-10-17 
     Statement: 
      - Effect: Allow 
      Action: 
       - 'ssm:DescribeAssociation' 
       - 'ssm:GetDeployablePatchSnapshotForInstance' 
       - 'ssm:GetDocument' 
       - 'ssm:GetManifest' 
       - 'ssm:GetParameters' 
       - 'ssm:ListInstanceAssociations' 
       - 'ssm:PutComplianceItems' 
       - 'ssm:PutConfigurePackageResult' 
       - 'ssm:UpdateAssociationStatus' 
       - 'ssm:UpdateInstanceAssociationStatus' 
       - 'ssm:UpdateInstanceInformation' 
      Resource: '*' 
      Effect: Allow 
      Action: 
       - 'ec2messages:AcknowledgeMessage' 
       - 'ec2messages:FailMessage' 
       - 'ec2messages:GetEndpoint' 
       - 'ec2messages:GetMessages' 
       - 'ec2messages:SendReply' 
      Resource: '*' 

내 질문을 이해하려고하는 것은 * 언급 매개 변수를 자원 관련이 있습니다. 그렇다면 AWS 인프라 내의 모든 리소스에서 작업을 수행 할 수 있습니까? CloudFormation 템플릿과 AWS에 대한 새로운 경험이 있습니다. 당신의 도움을 주셔서 감사합니다.

Answer 1

짧은 대답은 '예'입니다.

템플릿에는 문장 아래에 두 개의 섹션이 있습니다. 각 섹션에서 "허용"작업을 정의하고 있습니다. 각 섹션에 대해 모든 리소스에 대해 API를 "허용"합니다. 첫 번째 섹션은 SSM 용이고 두 번째 섹션은 SSM EC2Messages 용입니다.

참고 : 허용 동작에 따라 두 섹션을 병합 할 수 있습니다.

이 링크는 CloudFormation 템플릿과 함께 당신을 도울 것입니다 : 귀하의 질문에

Working with AWS CloudFormation Templates

Answer 2

CloudFormation 템플릿은 IAM 정책을 만드는 것입니다. 귀하의 질문은 정말 와일드 카드가 IAM 정책에서 어떻게 작동하는지에 관한 것입니다. *wildcard in an IAM policyResource 요소는이 IAM 정책이 적용된 무언가가 AWS 계정의 모든 리소스에 대해 나열된 작업을 수행 할 수 있음을 의미합니다.

정책은 AWS SSM 에이전트가 해당 EC2 인스턴스에서 SSM 작업을 수행 할 수 있도록 EC2 인스턴스 프로필에 적용 할 정책 인 것으로 보입니다. thee 리소스는 * 와일드 카드로 지정되므로 SSM 에이전트는 예를 들어 보낸 SSM 문서 (예 : ssm:GetDocument)를 다운로드 할 수 있습니다. 이것은 기본적으로 SSM 에이전트가 EC2 인스턴스에서 올바르게 작동 할 수있게 해줍니다. 장래에 트리거 할 때마다 필요한 각 작업에 특정 액세스 권한을 부여하지 않아도됩니다.