如何解决向任何 CodeBuild 项目授予 Use-STSRole (sts:AssumeRole) 权限
我有几个 AWS CodeBuild 项目使用 Use-STSRole
到 Assume Role 更特权角色 (readwrite
),然后从 Secrets Manager 读取机密。
我已将 readwrite
角色的信任关系配置为:
{
"Version": "2012-10-17","Statement": [
{
"Effect": "Allow","Principal": {
"Service": "codebuild.amazonaws.com"
},"Action": "sts:AssumeRole"
}
]
}
当我的 CodeBuild 项目运行时出现错误:
Use-STSRole: C:\example-stack-overflow-question\common\utility.psm1:6
Line |
6 | Use-STSRole -RoleArn $RoleArn -RoleSessionName $RoleSessionName | …
| ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
| User:
| arn:aws:sts::112233445566:assumed-role/aws-lambda-dotnet-powershe-SignProjectRole5EF6D320-X2IF2P0P1J4/AWSCodeBuild-0d189fc5-f3b6-440a-bed6-ab54ed5f6c08
| is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::112233445566:role/readwrite
如何配置我的 IAM 角色 readwrite
以允许任何 CodeBuild 项目通过 Use-STSRole
代入该角色?
解决方法
我无法获得仅代码构建工作的限制。相反,我最终允许对我帐户中的任何内容执行 AssumeRole
操作:
{
"Effect": "Allow","Principal": {
"AWS": "arn:aws:iam::112233445566:root"
},"Action": "sts:AssumeRole"
}
所以现在我的 CodeBuild 项目可以使用 Use-STSRole
cmdlet
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。