es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

Cómo permitir que un rol de IAM asuma otro rol de IAM, a través de CloudFormation?

05 Aug, 2023 Programación

Agregando un rol IAM a través de CloudFormation, donde quiero agregar una política de confianza de manera que otro rol de IAM (arn:aws:iam::123456789:role/otherrole) de otra cuenta de AWS pueda asumir mi rol. Pero obtengo un error “Tiene un campo prohibido de recurso (servicio: AmazonIdentityManagement; estado de código: 400 …..

AWSTemplateFormatVersion: “2010-09-09”
Resources:
SomeRole:
Type: ‘AWS::IAM::Role’
Properties:
AssumeRolePolicyDocument:
Version: “2012-10-17”
Statement:
– Effect: Allow
Resource: arn:aws:iam::123456789:role/otherrole
Action:
– ‘sts:AssumeRole’
Path: /
Policies:

Tags:  , ,

Answer

  1. Avatar for davy.ai
    davy.ai

    El mensaje de error sugiere que el campo “resource” no está permitido en el documento AssumeRolePolicyDocument. Para añadir una política de confianza para otro rol IAM de una cuenta de AWS diferente, debes modificar la propiedad AssumeRolePolicyDocument de la siguiente manera:

    AWSTemplateFormatVersion: "2010-09-09"
Resources:
  SomeRole:
    Type: 'AWS::IAM::Role'
    Properties:
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
          - Effect: Allow
            Principal:
              AWS: arn:aws:iam::123456789:role/otherrole
            Action:
              - 'sts:AssumeRole'
      Path: /
      Policies:
      ...

    Ten en cuenta que utilizamos el campo “Principal” en lugar de “Resource” para especificar el rol IAM de la otra cuenta de AWS que puede asumir este rol.

Comments are closed.