亚马逊网络服务CloudFormation模板

Question

我正在尝试理解下面的政策

 Policies:
    - PolicyName: InstanceIAMPolicy
      PolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Action:
              - 'ssm:DescribeAssociation'
              - 'ssm:GetDeployablePatchSnapshotForInstance'
              - 'ssm:GetDocument'
              - 'ssm:GetManifest'
              - 'ssm:GetParameters'
              - 'ssm:ListInstanceAssociations'
              - 'ssm:PutComplianceItems'
              - 'ssm:PutConfigurePackageResult'
              - 'ssm:UpdateAssociationStatus'
              - 'ssm:UpdateInstanceAssociationStatus'
              - 'ssm:UpdateInstanceInformation'
            Resource: '*'
            Effect: Allow
            Action:
              - 'ec2messages:AcknowledgeMessage'
              - 'ec2messages:FailMessage'
              - 'ec2messages:GetEndpoint'
              - 'ec2messages:GetMessages'
              - 'ec2messages:SendReply'
            Resource: '*'

我的问题是关于*提到的资源参数。这是否意味着可以在您的AWS基础设施内的任何资源上执行这些操作？我对CloudFormation模板和亚马逊网络服务是个新手。谢谢你的帮助。

Answer 1

简短的回答是肯定的。

在您的模板中，Statements下有两个部分。每个部分都定义了“允许”操作。对于每个部分，您都“允许”所有资源的API。第一部分用于SSM，第二部分用于SSM EC2Messages。

注:根据允许操作，您可以将这两个部分合并在一起。

此链接将帮助您使用CloudFormation模板：

Working with AWS CloudFormation Templates

Answer 2

您问题中的CloudFormation模板正在创建一个IAM策略。您的问题实际上是关于通配符在IAM策略中是如何工作的。* wildcard in an IAM policy Resource元素意味着应用了此IAM策略的内容可以对您的AWS帐户中的任何资源执行列出的操作。

该策略似乎是您将应用于EC2实例配置文件的策略，以允许AWS SSM代理在该EC2实例上执行任何SSM任务。由于资源被指定为SSM通配符，例如，*代理可以下载您发送给它任何SSM文档(ssm:GetDocument)。这基本上允许SSM代理在EC2实例上正确工作，而不需要您在以后每次触发它时授予它对需要它执行的每件事的特定访问权限。