CDK如何在使用from_role_arn从现有角色创建角色时添加假设角色
在使用CDK中,可以使用from_role_arn方法从现有的角色创建角色并添加假设角色。假设角色用于授权不同的服务或资源对该角色进行访问。
具体实现步骤如下:
- 导入CDK相关的库和模块:
from aws_cdk import core, aws_iam- 创建CDK的Stack类,并继承core.Stack:
class MyStack(core.Stack):
def __init__(self, scope: core.Construct, id: str, **kwargs) -> None:
super().__init__(scope, id, **kwargs)- 在
__init__方法中创建角色并添加假设角色:
class MyStack(core.Stack):
def __init__(self, scope: core.Construct, id: str, **kwargs) -> None:
super().__init__(scope, id, **kwargs)
# 创建一个现有角色
existing_role_arn = '<现有角色的ARN>'
existing_role = aws_iam.Role.from_role_arn(
self, 'ExistingRole', role_arn=existing_role_arn
)
# 创建一个新的角色,并设置假设角色
new_role = aws_iam.Role(
self, 'NewRole',
assumed_by=aws_iam.FederatedPrincipal(
federated='cognito-identity.amazonaws.com',
conditions={
'StringEquals': {
'cognito-identity.amazonaws.com:aud': '<Identity Pool ID>'
},
'ForAnyValue:StringLike': {
'cognito-identity.amazonaws.com:amr': 'authenticated'
}
},
assume_role_action='sts:AssumeRoleWithWebIdentity'
)
)
# 添加假设角色到现有角色
new_role.add_to_policy(
aws_iam.PolicyStatement(
actions=['sts:AssumeRole'],
resources=[existing_role.role_arn]
)
)在上面的代码中,通过from_role_arn方法创建了现有角色,并使用aws_iam.Role类创建了一个新的角色。然后,使用add_to_policy方法将新角色的假设角色添加到现有角色中。
请注意,在aws_iam.FederatedPrincipal的构造函数中,federated参数指定了使用该角色的服务或资源,conditions参数用于设置一些条件限制,比如只允许经过身份验证的用户使用该角色。具体的条件配置根据实际需求进行调整。
以上是使用CDK中from_role_arn方法从现有角色创建角色并添加假设角色的步骤。根据具体的业务需求,可以结合其他CDK提供的资源和服务来构建更完善的应用。
推荐的腾讯云相关产品和产品介绍链接地址:
- 腾讯云CDK产品介绍:https://cloud.tencent.com/product/cdk
- 腾讯云云函数SCF产品介绍:https://cloud.tencent.com/product/scf
- 腾讯云COS对象存储产品介绍:https://cloud.tencent.com/product/cos
- 腾讯云VPC产品介绍:https://cloud.tencent.com/product/vpc
相关·内容
在执行cdk-pipelines期间会创建一些新角色。如何强制将权限边界附加到这些新创建的角色? 背景:我们的AWS账户只允许创建具有特定权限边界的角色。如果未指定权限边界,则角色创建将失败。 我的CDK项目在尝试在管道中创建新角色时失败。 API: iam:CreateRole User: arn:aws:sts::305326993135:assumed-role/cdk-hnb659fds-cfn-exec-role-305326993135-ap-southeast-1/AWSCloudFormation is not authorized to perform: iam:Creat
浏览 23提问于2021-10-18得票数 0
1回答
我正在阅读关于的CDK文档,我不确定我是否理解错了,但我认为从他们的例子中能起作用的东西似乎并没有得到我所期望的许可。本质上,我有一个包含一些Lambdas的堆栈,我希望它们都能够从SecretsManager中读取两个秘密。
class CdkStack extends cdk.Stack {
/**
*
* @param {cdk.Construct} scope
* @param {string} id
* @param {cdk.StackProps=} props
*/
constructor(scope, id, p
浏览 1提问于2020-06-07得票数 5
回答已采纳
我是cdk新手,正在尝试用以下代码用CDK+Python创建一个实例配置文件。我已经通过CDK成功创建了角色(gitLabRunner-glue),并希望将其与intance配置文件一起使用。然而,当我运行下面的代码时,我得到了一个错误gitLabRunner-glue already exists
有人能解释一下我遗漏了什么吗?
from aws_cdk import core as cdk
from aws_cdk import aws_glue as glue
from aws_cdk import aws_ec2 as _ec2
from aws_cdk import aws_iam
浏览 5提问于2021-09-24得票数 1
我知道我们可以在redshift集群的权限中使用管理策略添加iam角色,但是我想编写代码而不是使用控制台。
我试图将iam角色附加到以前创建的现有红移群集方法中。因此,我希望cdk代码将一个iam用户附加到现有的集群中。
浏览 3提问于2022-03-13得票数 0
按照设置部署管道,我运行
$ env CDK_NEW_BOOTSTRAP=1 npx cdk bootstrap \
--cloudformation-execution-policies arn:aws:iam::aws:policy/AdministratorAccess \
aws://[ACCOUNT_ID]/us-west-2
来创建必要的角色。我将假设角色将自动添加sts假定角色权限从我的帐户原则。但是,当我运行cdk deploy时,会收到以下警告
当前凭据不能用于假定'arn:aws:iam::ACCOUNT_ID:role/cdk-hnb659fds
浏览 6提问于2021-07-06得票数 15
我读过关于如何将云形成模板导入到CDK代码中的。
这很有趣,但似乎没有办法在CDK代码中使用CFT创建的任何对象。因此,例如,如果您在CFT中定义了一个apigateway或appsync实例,并且希望使用非常好的机制在CDK中创建Lambda函数,那么似乎没有办法将Lambda函数附加到apigateway或appsync实例。
这意味着,如果无法从CDK引用CFT对象,则从CFT升级到CDK是一个完整的提升升级。这听起来不对,但这将是收养的一个重大障碍。
如何在CDK代码中引用CFT创建的对象?这里有四个可能的例子,其中任何一个的解决方案都应该能够通过揭示将要使用的代码模式来回答这个问题:
浏览 10提问于2020-04-02得票数 1
我正在尝试将我的公司项目从CDK V2升级到CDK V1。
由于我的公司对IAM角色和命名约定有严格的规定,所以我在部署到CloudFormation时遇到了问题。
考虑到单个角色就足以构建和部署到CloudFormation上的CDK CloudFormation,所有东西都可以正常工作。
使用CDK V2,现在有必要通过引导来创建不同的IAM角色,并将它们与StackSynthesizer一起使用。
问题是:在不违反我的公司规则的情况下,这些角色不可能以任何方式承担,而是正确的iam:PassRole。当我的角色"deploy“试图允许我的角色”cfn“将所有内容放到CloudFo
浏览 16提问于2022-04-04得票数 1
回答已采纳
1回答
当我运行cdk bootstrap时,AWS创建一个名为CDKToolkit的堆栈。这与一系列IAM角色和S3桶一起提供,以使CDK正常工作。问题是,当我在CloudFormation中删除这个堆栈时,即使堆栈消失了,角色和桶也不会被清除。从AWS帐户中完全删除CDK的正确方法是什么?
浏览 1提问于2022-10-02得票数 0
回答已采纳
我正在和两个CDK栈一起工作。
堆栈A创建一个将权限授予资源的iam.ManagedPolicy
堆栈B尝试导入此托管策略(IManagedPolicy),导入角色(IRole),然后使用IRole.addManagedPolicy(IManagedPolicy)将托管策略附加到角色
// Stack B
const iam = require("@aws-cdk/aws-iam");
const ec2InstanceRole = iam.Role.fromRoleArn(this, 'my-role', 'the-arn-of-th
浏览 13提问于2021-07-21得票数 3
回答已采纳
1回答
向堆栈添加权限边界
、、、、
当我部署一个CDK堆栈时,它会创建几个角色,比如通过iam.Role构造显式地创建角色,以及隐式地创建角色(例如,当角色是由级别2构造在内部创建的)。
是否有一种方法将现有的权限边界附加到堆栈创建的所有角色--显式和隐式角色?
浏览 4提问于2022-07-15得票数 2
回答已采纳
我正在设置一个CDK应用程序,以便它可以部署到多个AWS帐户(dev和prod)。prod帐户是几周前由另一个开发人员引导的,但是通过在一个名为CDKDeployUser的组中使用名为CDKDeployUsers的用户以及附加的策略CDKDeployPolicy来正常工作。所使用的策略(它适用于prod帐户中与CDK相关的所有功能)是:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
浏览 9提问于2022-04-12得票数 1
我想使用AWS CodeBuild从Git仓库运行AWS CDK合成-也就是说,如果我更新存储库中的CDK应用程序代码,我希望CloudFormation堆栈自动更新。设置构建角色权限的最佳实践是什么?
浏览 18提问于2018-12-23得票数 1
回答已采纳
1回答
嗨,我和jenkins一起创建了CDK项目。我想用角色来部署。例如,具有角色的cdk部署。例如,在cloudformation中,我所做的事情如下所示。
cfn_manage deploy-stack \
--stack-name "$CFN_CDK_STACK" \
--template-file "cloudformation/templates/cdk.yml" \
--parameters-file "$PARAMS_FILE" \
--role-name infra-cfnrole-location-nonprivile
浏览 7提问于2020-01-16得票数 3
let servicePrincipal: any = new iam.ServicePrincipal("lambda.amazonaws.com");
let policyDoc = new iam.PolicyDocument({
statements: [
new iam.PolicyStatement({
actions: ["sts:AssumeRole"],
principals: [servicePrincipal],
effect: ia
浏览 7提问于2021-06-17得票数 1
1回答
我已经将我的cdk从第1版更新到了第2版,当我尝试在本地使用npm run cdk -- deploy --context awsEnv=dev --all --profile=dev进行此操作时,这是完美的。
然而,当循环CI/CD管道试图在同一个dev环境中部署时,它会引发一个错误。
User: arn:aws:sts::xxxxxxxx:assumed-role/*******************************************************/jatinmehrotra is not authorized to perform: ssm:GetParam
浏览 5提问于2022-08-01得票数 0
回答已采纳
2回答
我正试图在我刚刚通过Visual创建的一个新网站上初始化AWS。
但是,当我运行init逗号时,我得到了错误:cdk init不能在非空目录中运行。
❯ cdk init app --language=csharp
`cdk init` cannot be run in a non-empty directory!
使用从scrach开始的示例(在一个空目录中)。
可以在现有的解决方案/项目中初始化CDK吗?
浏览 22提问于2020-08-10得票数 11
回答已采纳
我见过有关这个问题的问题。
但特别是我的问题是,我承担了一个角色,去找回临时的书记员。它工作得很好;但是,当运行CDK引导时,我会收到:需要对account <account_id>执行AWS调用,但没有配置凭据。
我也尝试过使用CDK部署,并收到:无法解析AWS帐户使用。它必须在定义CDK堆栈时进行配置,或者通过环境进行配置。
在使用临时凭据或承担角色时,如何在CDK中指定AWS帐户环境?
浏览 16提问于2022-08-17得票数 1
我是AWS CDK的新手,在设置Lambda时遇到了一个问题。这是我的代码:
import { ManagedPolicy, Role, Group, User } from 'aws-cdk-lib/aws-iam';
import { NodejsFunction } from 'aws-cdk-lib/aws-lambda-nodejs';
import { LambdaIntegration } from 'aws-cdk-lib/aws-apigateway';
const group1 = new Group(this, '
浏览 3提问于2022-07-25得票数 1
回答已采纳
我想在CDK中导入一个角色来使用它来配置一个新的CodeBuild项目。
const role1 = Role.import(this, "service-role", {
roleArn: "arn:aws:iam::1234567890:role/service-role/codebuild-manualproject-service-role" ,
});
注意:为了安全起见,我更改了Arn中的帐户引用。
下面是创建代码构建项目的代码。
// Create build
// note: now that
浏览 1提问于2019-04-30得票数 0
1回答
不能承担查找角色
、、
我正在尝试从帐户A(部署帐户)部署AWS CDK管道到帐户B(工作负载帐户)。作为我的CDK代码的一部分,我正在执行VPC ID的查找:
var lambdaVpc = Vpc.FromLookup(this, "VPC", new VpcLookupOptions{
VpcId = Vpc.id
});
但是,当我的管道运行时,我会得到以下错误:
Could not assume role in target account using current credentials (which are for account ${Depl
浏览 5提问于2022-04-12得票数 0
回答已采纳
6回答
我意识到这是非常新的,但在任何语言中都看不到任何示例,您将如何为用AWS创建的lambda指定一个角色。
我正试图这么做
const cdk = require('@aws-cdk/cdk');
const lambda = require('@aws-cdk/aws-lambda');
const iam = require('@aws-cdk/aws-iam');
const path = require('path');
class MyStack extends cdk.Stac
浏览 1提问于2018-10-03得票数 22
回答已采纳
我在帐户A中有Codepipeline,在帐户B中有AWS ECS。我已经创建了两个CDK堆栈。一个用于帐户A,创建Codepipeline堆栈。第二,对于帐户B,创建ECS堆栈。帐户B中存在IAM角色,该角色由帐户A Codepipeline用于部署到帐户B的ECS。 我需要将帐号B的ECS服务名称、ECS集群名称和IAM角色ARN传递给帐号A的CDK堆栈,如何使用CDK来实现?
浏览 14提问于2020-06-18得票数 1
我正在创建多个SQS队列,并希望在队列创建后添加Lambda触发器。当我执行cdk synth命令时,会得到一个错误(见下面)。
我使用的是aws的1.130版本,所有的包都是相同的版本(1.130.0)
生成TypeError错误:无法读取未定义的属性“作用域”
查看堆栈跟踪错误,它在lambdaFunction.addEventSource部分失败。
我遵循CDK文档(),在此基础上,我认为我正在遵循正确的步骤。
下面是我使用的代码:
const cdk = require(`@aws-cdk/core`);
const sqs = require(`@aws-cdk/aws-
浏览 6提问于2022-01-11得票数 1
我试图在2013年的SharePoint中创建一个角色,但是我找不到任何选择来创建一个新的角色。我不想创建团队。我知道角色和团体是有区别的。我已经使用SharePoint 2013客户端库代码创建了角色和组,但现在我希望在SharePoint 2013中手动创建角色。
浏览 2提问于2016-08-18得票数 2
回答已采纳
1回答
我正在尝试为亚马逊网络服务CodeBuild创建一个服务角色。 我可以像这样创建一个角色: from aws_cdk import aws_iam as iam
role = iam.Role(
self, 'CodebuildServiceRole',
assumed_by=iam.ServicePrincipal('codebuild.amazonaws.com'),
max_session_duration=cdk.Duration.hours(1),
) 现在,我需要将亚马逊提供的AWSCodeBuildAdminAccess
浏览 14提问于2021-07-26得票数 0
回答已采纳
3回答
您可以在这里找到用于复制我的问题的cdk应用程序,。在README中解释的用法说明
我需要通过发出以下命令来使用角色部署CDK应用程序
cdk -r arn:aws:iam::000000000000:role/fooRole deploy
但随后抛出了一个错误
Assuming role failed: User: arn:aws:iam::000000000000:user/fooUser is not authorized to
perform: sts:AssumeRole on resource: arn:aws:iam::000000000000:role/barRole
当然,
浏览 20提问于2022-07-21得票数 1
回答已采纳
我一直在使用AWS CDK,并致力于在我的AWS educate account上构建一个代码管道堆栈。我使用的用户有足够的权限访问和使用代码管道。我的问题是,AWS CDK为code pipeline action生成一个角色,该角色的Principle是根帐户的ARN。因此,它没有权限执行承担root帐户上的角色。
动作代码:
{
stageName: "Build",
actions: [
new codepipelineActions.CodeBuildAction(
{
actionName: "B
浏览 0提问于2020-08-31得票数 2
我正在创建一个CDK堆栈,它将创建IAM角色。它将只部署一次,因为角色是全局的。第二个堆栈将通过查找Role.fromRoleArn(...)来使用这个角色。这一作用将由阶跃函数承担。角色堆栈中的CDK构造如下:assumedBy: new ServicePrincipal('states.amazonaws.com')。当我查看生成的角色时,我会在“信任关系”选项卡上看到以下内容:The identity provider(s) states.eu-north-1.amazonaws.com。还添加了部署角色堆栈的区域(eu-north-1),尽管我没有指定它。当我使用IAM
浏览 2提问于2021-02-04得票数 1
回答已采纳
我的用例是: 我想为现有S3存储桶的PUT事件执行一个lambda函数。 问题是,在CloudFormation或CDK中,您无法为现有的存储桶添加通知,只能为创建的存储桶添加通知。 为了解决这个问题,我尝试使用一个自定义资源,它将Lambda函数添加到PutNotification中。我在CloudFormation中工作得很好,但我现在正在尝试使用CDK来做类似的事情。 要模拟CloudFormation中的内容,我需要向现有的存储桶添加一个存储桶策略,以授予对操作s3的权限:将PutBucketNotification授予lambda执行角色主体。 在CloudFormation中,我
浏览 11提问于2019-10-05得票数 1
1回答
AWS如何导入现有的数据管道
、、、、
我已经运行了一个datapipeline,以前是手动创建的,现在我想使用CDK代码来管理它。我怎样才能做到呢?(使用aws cdk类型记录库查找/导入此数据池并进行管理)
例如,在AWS中,我们可以使用导入现有的主题。
但我已经通过了,没有发现类似的东西。
谢谢!
浏览 11提问于2022-08-22得票数 0
我正在尝试使用S3中的模型构件中的CDK部署。
Sagemaker模型需要execution_rol_arn。因此,我使用CDK创建了一个角色,并将其作为sagemaker模型的参数传递。但是它说在创建模型时角色并不存在。但是如果通过这个命令添加对资源的依赖,sagemaker_model.add_depends_on(model_role)。它给了我这个错误。
type of argument target must be aws_cdk.CfnResource; got aws_cdk.aws_iam.Role instead
我的cdk代码用于sagemaker模型和Iam角色
浏览 14提问于2022-11-25得票数 0
回答已采纳
1回答
在AWS控制台中创建基于EC2的ECS集群时,可以指定容器实例角色:
但是,在创建集群之后,我看不到任何方法来查看附加到集群的哪个角色。
此外,在使用或 (或扩展为CDK)创建集群时,我看不到任何方法来指定容器实例角色。
我的问题有两方面:
能否在API/Cloudformation中指定此属性?
是否可以在控制台中或使用API/CLI在现有集群上查看此属性?
浏览 1提问于2021-03-18得票数 2
1回答
我试图创建一个备份计划,规则和金库使用AWS CDK。在部署应用程序之后,我在cloudformation中收到以下错误。
Resource handler returned message: "Insufficient privileges to perform this action. (Service: Backup, Status Code: 403, Request ID: xxxxxxx)" (RequestToken: xxxxxxxxx, HandlerErrorCode: GeneralServiceException)
我的CDK引导角色绝对可以访问备份。见
浏览 12提问于2022-09-13得票数 1
我按照下面的教程使用CDK创建了一个Lambda部署管道。当我尝试将所有东西都保存在同一个帐户中时,它工作得很好。 https://docs.aws.amazon.com/cdk/latest/guide/codepipeline _ example.html 但我的场景与示例略有不同,因为它涉及两个AWS帐户,而不是一个。我在OPS帐户中维护应用程序源代码和管道,此管道将Lambda应用程序部署到UAT帐户。 OPS帐户(12345678) - CodeCommit回购和CodePipeline UAT帐户(87654321) - Lambda应用程序 根据aws下面的aws文档(跨账户操
浏览 92提问于2020-04-06得票数 1
我使用iam.Role创建了一个角色,然后尝试使用子流程库查找角色。我看到该角色被成功创建,但无法在使用子进程执行的命令的输出中找到角色。请查找下面的代码。
有谁能指出问题是什么,并建议根据CDK中的角色名称/Id获取任意角色的Arn的最佳方法
类CdkTestStack(堆栈):
def __init__(self, scope: Construct, construct_id: str, **kwargs) -> None:
super().__init__(scope, construct_id, **kwargs)
#Create role
浏览 4提问于2022-04-02得票数 0
回答已采纳
3回答
我正在为一个CI/CD用户编写一个IAM角色,部署我们的 (CDK)应用程序。CDK应用程序由lambda函数、Fargate等组成。问题是,CDK不允许我指定它需要的所有角色。相反,它自己创造了一些。
以下几个例子:
每个具有日志保留的lambda函数都有由CDK创建的另一个lambda,它将日志保留设置为日志组和日志流。
执行step函数的CloudTrail事件需要具有states:StartExecution权限的角色。
CDK自动创建这些角色,并将内联策略放入其中。这迫使我授予CI/CD角色创建角色和附加策略的权限。因此,如果有人访问CI/CD用户(例如,如果我们的G
浏览 1提问于2019-08-19得票数 3
回答已采纳
1回答
如何获得在CDK中部署CDK堆栈的假定用户的arn?arn:aws:sts::accountID:assumed-role/AWSReservedSSO_AWSAdministratorAccess_xxxxxxxxxxxxxxx/user@email.com格式
运行aws sts get-caller-identity时出现的arn
我试图从cdk库iam.Role.???构造中检索,但似乎没有一个与假定的角色相关。
浏览 5提问于2022-06-11得票数 1
我希望将现有角色附加到使用CDK创建的lambda中,我正在执行以下操作
const role1 = iam.Role.fromRoleArn(this, 'Role', 'ARN', {
mutable: true,
});
const lambda1 = new lambda.Function(this, 'lambda1', {
runtime: lambda.Runtime.PYTHON_3_7,
code: lambda.Code.asset('lambda/lam
浏览 0提问于2020-05-14得票数 5
回答已采纳
4回答
我的团队有一个管道,它在执行IAM的角色下运行。我们希望通过CloudFormation或CDK将代码部署到AWS。
过去,我们使用执行IAM角色,在创建/更新我们的S3堆栈之前,会将一些工件上传到CloudFormation存储桶中。
我们最近切换到了CDK,并试图通过使用CDK部署获得尽可能多的自动化,但是遇到了很多我们需要添加的权限项,而这些项是我们之前没有的(例如,cloudformation:GetTemplate)。
我们不想仅仅授予*(我们希望遵循最少的特权),但我找不到任何明确的文档列表。
是否有CDK部署所依赖的权限的标准列表?除了标准列表之外,还有什么“很好的”吗?
浏览 0提问于2019-07-19得票数 37
回答已采纳
1回答
下面是我已经用策略声明的一个角色:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sqs:ReceiveMessage",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes&
浏览 6提问于2020-09-15得票数 0
我们正在尝试使用EKS集群设置日志记录。我们当前正在运行一个只有一个EC2实例的集群。亚马逊网络服务提供了创建必要的kubernetes配置的kubectl commands。 在将其应用于现有的EKS设置时,我们无法正确定义有权写入CloudWatch的实例角色。 cloudwatch代理在其pod日志中显示以下错误: 2020-01-07T10:20:14Z E! CreateLogStream / CreateLogGroup with log group name /aws/containerinsights/eks-test-EKS/performance stream name
浏览 30提问于2020-01-08得票数 1
回答已采纳
我最近一直在探索AWS,我正在使用的编程语言是Python。由于我是这个概念的新手,所以我试图实现一件事:如何为现有的实例创建ec2组?我想在某个地方我需要提到实例id,在这里附加为ASG的一个参数。
现在我所面临的确切问题是,我无法理解如何在配置ec2时传递现有AutoScalingGroup实例的细节。我不是使用CDK创建VPC,而是使用控制台创建了一个EC2实例。
任何线索都会很有帮助的!
下面是AutoScalingGroup的代码:
{从aws_cdk导入的构造导入aws_autoscaling作为自动标度
从aws_cdk导入(aws_ec2作为ec2,aws_ssm作为ssm,堆
浏览 10提问于2022-11-12得票数 0
我正在AWS中设置一个多账户架构。我有我的域名托管在根账户的route53中。在使用CDK在子账号中创建基础设施时,我需要能够创建route53记录(例如根域是test.com,我希望由子账号控制dev.test.com )。AWS提到了两种方法:一种是委托记录集。另一种是使用跨账号权限。
我正在尝试使用跨帐户角色来实现这一点。我已在子帐户中创建了一个角色,并具有在父帐户中承担该角色的权限。
当我运行cdk deploy时,除了记录集之外,所有的基础设施都可以成功部署,因为该角色显然没有权限。
下面是我的CDK代码:
this.hostedZone = route53.HostedZo
浏览 0提问于2019-12-12得票数 2
如何在deploy时(而不是synth时间)将值传递给AWS?
我可以看到,我可以在App中检索上下文值:
(String)app.getNode().tryGetContext("keyOfMyValue");
上面的示例来自,并返回一个字符串,其中键值对是使用-c keyOfMyValue=someValue传递的。然后将此值传递给cdk synth。
虽然cdk deploy的CLI显示了一个相同的Context参数,但我不知道如何在堆栈中访问该参数。我不想在合成时定义所有的值,我想在部署时将一些简单的值(例如字符串)传递给CDK。
有这样做的例子吗?
浏览 0提问于2020-02-25得票数 3
1回答
我正在尝试单元测试我的CDK应用程序。我已经建立了一个角色,我想保证它已经分配了所有的政策。由于角色和策略是不同的资源,因此无法从云形成角色资源中获得策略。角色只引用策略:
"MyRole4CBCE4C9": {
"Type": "AWS::IAM::Role",
"Properties": {
"AssumeRolePolicyDocument": {
"Statement": [
{
浏览 3提问于2020-07-14得票数 4
我知道已经创建的角色或策略的名称。有人能让我知道使用AWS CDK使用角色名称/策略名获取'Arn‘的最佳方法吗?
我的用例是使用'Arn‘导入资源并在创建其他资源时使用它
浏览 4提问于2022-04-03得票数 -1
我使用CDK部署我的web服务,Docker映像已经被推送到ECR,然后我使用CDK部署应用程序到ECS并执行Fargate任务。
但是当我部署CDK脚本时,它一直要求我允许它更新我的IAM角色
IAM语句更改
ecr:GetAuthorizationToken
ecr:BatchCheckLayerAvailability
ecr:BatchGetImage
ecr:GetDownloadUrlForLayer
我不认为这是一个好主意,允许CI运行拥有更新IAM资源的权限,所以我手动更新它。但基尔克仍然要求我允许。
这是否意味着我无法避免CDK来更新我的IAM角色?
浏览 0提问于2019-12-28得票数 1
回答已采纳
每当我创建一个新的CloudFront发行版时,我如何阻止CDK创建一个新的OAI?
我想对所有发行版使用XXXXXXXXXXXXX1,但是XXXXXXXXXXXXX2是创建的,但不确定为什么,因为我明确地说要使用其他的with with:cloudfront.OriginAccessIdentity(this, "XXXXXXXXXXXXX1")
这是我使用TypeScript的CDK堆栈
import { Construct } from "constructs"
import {
Stack,
StackProps,
aws_s3
浏览 7提问于2022-04-03得票数 1
回答已采纳
2回答
我已经创建了一个事件总线,其中的目标是一个现有的通道。除了针对特定目标的执行角色之外,一切都运行良好。我正在使用一个现有的IAM角色作为一个执行角色,它附带了两个策略-- "execute-api:Invoke", "execute-api:ManageConnections"。也是由"events.amazonaws.com"假设的。但这并不是作为执行角色附加到目标上。下面是使用现有角色的代码
var role = Role.FromRoleName(this, roleId, roleName);
var rule = new Amazo
浏览 13提问于2022-06-08得票数 0
回答已采纳
2回答
我正在尝试将aws-cdk基础设施部署为来自jenkins管道的代码,但它需要存储在~/.aws/credentials中的aws凭证。 为运行jenkins的服务器提供了IAM角色,该角色具有足够的权限来部署任何类型的资源。我还尝试传递环境变量,为其提供正确的区域和帐户:CDK_DEFAULT_ACCOUNT=XXX CDK_DEFAULT_REGION=us-east-2。 这是我目前的阶段 stage('Deploy test infrastructure') {
container(cdkDeployContainer.getNam
浏览 28提问于2019-09-05得票数 5
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
