View a markdown version of this page

Weiterleitung von Zugriffsanfragen (FAS) und Bewertung von Berechtigungen - AWS CloudFormation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Weiterleitung von Zugriffsanfragen (FAS) und Bewertung von Berechtigungen

Beim Erstellen, Aktualisieren und Löschen von CloudFormation Stacks können Benutzer optional einen IAM-Rollen-ARN angeben. Wenn keine Rolle bereitgestellt wird, CloudFormation verwendet es seinen Standarddienstmechanismus, um mit anderen AWS Diensten zu interagieren. In diesem Szenario muss der Aufrufer über die erforderlichen Berechtigungen für die zu verwaltenden Ressourcen verfügen. Wenn ein Benutzer seine eigene IAM-Rolle angibt, CloudFormation übernimmt er diese Rolle, um in seinem Namen Dienstinteraktionen durchzuführen.

Unabhängig davon, ob der Benutzer eine IAM-Rolle bereitstellt, CloudFormation generiert es für jeden Ressourcenvorgang ein neues, abgegrenztes FAS-Token. Folglich werden die FAS-bezogenen Bedingungsschlüssel, einschließlich,aws:ViaAWSService in beiden Szenarien ausgefüllt.

Die Verwendung von FAS wirkt sich darauf aus, wie IAM-Richtlinien während des Betriebs bewertet werden. CloudFormation Wenn Sie einen Stapel mit einer Vorlage erstellen, die Ressourcen enthält, die von FAS-bezogenen Bedingungsschlüsseln betroffen sind, kann es zu einer Verweigerung von Berechtigungen kommen.

Beispiel für eine IAM-Richtlinie

Beachten Sie die folgende IAM-Richtlinie. Statement2verhindert konsequent die Erstellung einer AWS::KMS::Key Ressource in CloudFormation. Die Einschränkung wird konsequent durchgesetzt, unabhängig davon, ob während des Stack-Vorgangs eine IAM-Rolle angegeben wird oder nicht. Das liegt daran, dass der Bedingungsschlüssel aws:ViaAWSService aufgrund der Verwendung von FAS immer auf true gesetzt ist.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "kms:CreateKey"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Statement2",
            "Effect": "Deny",
            "Action": [
                "kms:CreateKey"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "Bool": {
                    "aws:ViaAWSService": "true"
                }
            }
        }
    ]
}
Beispiel Stapelvorlage

Wenn ein Benutzer beispielsweise einen Stapel mit der folgenden Beispielvorlage erstellt, wird aws:ViaAWSService auf truegesetzt, und die Rollenberechtigungen werden durch die FAS-Richtlinie außer Kraft gesetzt. Die Erstellung von Stapeln wird durch Statement2 der IAM-Richtlinie beeinflusst, die die Aktion CreateKey verweigert. Dies führt zu einem Fehler mit verweigerter Berechtigung. 

Resources:
  myPrimaryKey:
    Type: AWS::KMS::Key
    Properties:
      Description: An example multi-Region primary key
      KeyPolicy:
        Version: '2012-10-17'
        Id: key-default-1
        Statement:
          - Sid: Enable IAM User Permissions
            Effect: Allow
            Principal:
              AWS: !Join
                - ''
                - - 'arn:aws:iam::'
                  - !Ref AWS::AccountId
                  - ':root'
            Action: kms:*
            Resource: '*'

Weitere Informationen über FAS finden Sie unter Forward access sessions im IAM User Guide.

Anmerkung

Die meisten Ressourcen halten sich an dieses Verhalten. Wenn Sie jedoch beim Erstellen, Aktualisieren oder Löschen einer Ressource einen unerwarteten Erfolg oder Misserfolg erleben und Ihre IAM-Richtlinie FAS-bezogene Bedingungsschlüssel enthält, gehört die betreffende Ressource wahrscheinlich zu einer kleinen Untergruppe von Ressourcen, die nicht diesem Standardmuster folgen.