资源arn:aws:cloudformation:us-east-1:aws:transform权限问题

Question

我正在尝试使用swagger扩展将swagger与api网关和lambda集成。Swagger文件上传到S3存储桶中，我使用Body和transform，并包含如下内容

在AWS：：API网关：：RestApi属性中使用BodyS3Location会返回错误，无法解析API定义，因为上面提到的与我引用的Swagger file with AWS Extensions stored in S3 Bucket for API Creation with Cloudformation相同的集成存在格式错误。

并对AWS：：as网关：：RestApi属性Body: Fn::Transform: Name: AWS::Include Parameters: Location: Fn::Sub: "s3://${BucketName}/apiSwaggerSpec.yaml"的模板进行了如下修改

对于上面的堆栈，我拥有cloudformation操作的所有权限

下面的代码我已经添加为swagger扩展。x-amazon-apigateway-auth: type: "aws_iam" x-amazon-apigateway-integration: type: "aws_proxy" httpMethod: "POST" passthroughBehavior: "when_no_match" uri: Fn::Sub: "arn:aws:apigateway:us-east-1:lambda:path/2015-03-31/functions/arn:aws:lambda:us-east-1:${accountId}:function:testLambdaFunction/invocations" credentials: Fn::Sub: "arn:aws:iam::${accountId}:role/${myRole}" responses: default: statusCode: 200

我收到权限被拒绝错误消息，因为我的角色无权在资源: arn:aws:cloudformation:us-east-1:aws:transform/include上执行cloudformation:CreateChangeSet

是否需要为转换/包含添加特殊权限。aws文档说它不需要特殊权限？

Answer 1

我遇到了同样的问题，这个问题是我在搜索时唯一能找到的有意义的结果。尽管AWS声称相反，但似乎确实存在必需的权限，但错误消息抱怨的权限似乎是唯一的权限；在此之后，Include转换似乎可以工作。这是我添加的整个策略：

      PolicyDocument:
        Version: "2012-10-17"
        Statement:
          - # The AWS::Include transform requires this weird permission.
            Sid: UseInclude
            Effect: "Allow"
            Action: "cloudformation:CreateChangeSet"
            Resource: !Sub "arn:aws:cloudformation:${AWS::Region}:aws:transform/Include"