Pour le moment, j'ai un compartiment S3 partagé qui a un accès spécifique à des chemins de clé particuliers (c'est-à-dire des dossiers) pour différentes instances. J'ai pu créer un profil d'instance avec mon nouveau rôle et ne tester aucun problème limitant l'accès à ce dossier.
Mon problème est qu'il existe un rôle générique existant avec des stratégies définies, que je souhaite également pouvoir inclure dans mon nouveau rôle pour chaque pile.
Dans Cloudformation, est-il possible d'inclure des politiques définies dans un rôle à inclure dans un autre rôle sans avoir à redéfinir le document de politique dans le nouveau rôle?
Quelque chose comme ceci:
"AppTierS3AccessRole": {
"Type": "AWS::IAM::Role",
"Properties": {
"AssumeRolePolicyDocument": {
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [ "ec2.amazonaws.com" ]
},
"Action": [ "sts:AssumeRole" ]
}
]
},
"Path": "/",
"Policies": [ { "Ref": "existing-policy" } ]
}
},
La "politique existante" étant la partie importante ici. J'ai essayé de trouver l'arn de la politique existante pour essayer de la référencer mais je suis un peu coincé.