AWS IRole.addManagedPolicy()没有作用，IRole.attachInlinePolicy()起作用。为什么？

Question

我正在和两个CDK栈一起工作。

• 堆栈A创建一个将权限授予资源的iam.ManagedPolicy
• 堆栈B尝试导入此托管策略(IManagedPolicy)，导入角色(IRole)，然后使用IRole.addManagedPolicy(IManagedPolicy)将托管策略附加到角色

// Stack B
const iam = require("@aws-cdk/aws-iam");

const ec2InstanceRole = iam.Role.fromRoleArn(this, 'my-role', 'the-arn-of-the-role');

const managedPolicy = iam.ManagedPolicy.fromManagedPolicyName(this, 'my-managed-policy', 'name-of-the-policy');

ec2InstanceRole.addManagedPolicy(managedPolicy);

当我部署Stack B时，没有错误。但是，角色也没有被修改。如果我没有这样做，我做的是：

• 在堆栈B中，导入相同的角色(IRole)
• 调用IRole.attachInlinePolicy(iam.Policy)并在iam.Policy中定义与Stack A在托管策略中定义的权限相同的权限，可以修改堆栈B中的角色。

// Stack B
const iam = require("@aws-cdk/aws-iam");

const ec2InstanceRole = iam.Role.fromRoleArn(this, 'my-role', 'the-arn-of-the-role');

ec2InstanceRole.attachInlinePolicy(
    new iam.Policy(this, 'test-policy', {
        policyName: 'test-policy-name',
        statements: [
            new iam.PolicyStatement({
                effect: iam.Effect.ALLOW,
                actions: ['product:capability'],
                resources: ['arn-of-resource']
            })
        ]
    })
);

这是可行的。通过添加包含定义的权限的新内联策略来修改角色。

一些额外的背景信息..。

• 角色和管理策略都在同一个帐户中。
• 我正在使用CDK 1.114.0。
• Stack B中引用的角色是一个预先存在的角色，它不是由CDK管理的，而是附加到作为其实例配置文件角色的Ec2实例上的。
• Stack A中定义的托管策略用于正在开发的新服务，而在Stack B中定义的服务需要与之交互。

为什么第一种方法失败而第二种方法成功？是否认为将内联策略附加到静态导入的角色是“更安全的”，因为我必须显式定义在策略中添加的权限，而不是从另一个堆栈中提取托管策略？这仅仅是在执行附加操作时在同一个堆栈中定义策略的问题(同样是某种安全措施)吗？我想做的事情有什么更根本的错误吗？

任何想法都将不胜感激。

Answer 1

代码中的"FIXME“不支持这一点。

这个评论表明，这是由于CDK和CloudFormation相关的限制存在差距。当然，可以将托管策略附加/分离到现有角色，否则。

Answer 2

我找到的解决办法如下。它并不完美，但它很好：

1. 定义策略声明
2. 使用该策略语句创建托管策略
3. 将策略语句附加到导入的角色。

示例

const statement = new PolicyStatement({
    effect: Effect.ALLOW,
    actions: ['execute-api:Invoke'],
    resources: [
        //SOME RESOURCE
    ]
})
this.cloudAuthAccessPolicy = new ManagedPolicy(this, 'FOO', {
    managedPolicyName: 'FOO',
    description: "BAR",
    statements: [
        statement
    ]
})

const role = Role.fromRoleArn(this, `name`, `arn:aws:iam::${props.account}:role/SOME_ROLE_NAME`)
role.addToPolicy(statement)

Answer 3

这很有趣。如果您还没有获得有关托管/内联策略的其他信息，我建议您阅读policies.html。

另外，您是否尝试过在stack B中创建ManagedPolicy并应用它，而不是从不同的堆栈导入它？可能是进口失败或诸如此类的事情。