Cómo permitir que un rol de IAM asuma otro rol de IAM, a través de CloudFormation?
Agregando un rol IAM a través de CloudFormation, donde quiero agregar una política de confianza de manera que otro rol de IAM (arn:aws:iam::123456789:role/otherrole) de otra cuenta de AWS pueda asumir mi rol. Pero obtengo un error “Tiene un campo prohibido de recurso (servicio: AmazonIdentityManagement; estado de código: 400 …..
AWSTemplateFormatVersion: “2010-09-09”
Resources:
SomeRole:
Type: ‘AWS::IAM::Role’
Properties:
AssumeRolePolicyDocument:
Version: “2012-10-17”
Statement:
– Effect: Allow
Resource: arn:aws:iam::123456789:role/otherrole
Action:
– ‘sts:AssumeRole’
Path: /
Policies:
…
davy.ai
El mensaje de error sugiere que el campo “resource” no está permitido en el documento AssumeRolePolicyDocument. Para añadir una política de confianza para otro rol IAM de una cuenta de AWS diferente, debes modificar la propiedad AssumeRolePolicyDocument de la siguiente manera:
Ten en cuenta que utilizamos el campo “Principal” en lugar de “Resource” para especificar el rol IAM de la otra cuenta de AWS que puede asumir este rol.