Al momento ho un bucket S3 condiviso che ha un accesso specifico a percorsi chiave particolari (ovvero cartelle) per istanze diverse. Sono stato in grado di creare un profilo di istanza con il mio nuovo ruolo e testare nessun problema limitando l'accesso a quella cartella.
Il mio problema è che esiste un ruolo generico esistente con criteri definiti, che voglio anche poter includere nel mio nuovo ruolo per ogni stack.
Nella cloudformation è possibile includere politiche definite in un ruolo da includere in un altro ruolo senza dover ridefinire il documento politico nel nuovo ruolo?
Qualcosa di simile al seguente:
"AppTierS3AccessRole": {
"Type": "AWS::IAM::Role",
"Properties": {
"AssumeRolePolicyDocument": {
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [ "ec2.amazonaws.com" ]
},
"Action": [ "sts:AssumeRole" ]
}
]
},
"Path": "/",
"Policies": [ { "Ref": "existing-policy" } ]
}
},
La "politica esistente" è la parte importante qui. Ho cercato di trovare l'ARN della politica esistente per provare a fare riferimento a esso, ma sono un po 'bloccato.