我有一个CloudFormation模板,可以启动自动扩展组。它有以下实例配置文件和关联的角色和策略。是否有办法将现有的IAM角色添加到InstanceProfile中?AWS文档似乎说不行:
"目前,最多只能向实例配置文件分配一个角色。"
基本上,我想在模板中保留下面的角色和策略创建,以便策略可以引用模板创建的SQS资源(即“Resource”:[{"Fn :: GetAtt": ["LifecycleSQS",“Arn”]}]),同时还分配一个预先存在的角色,该角色将为实例上的应用程序授予权限。我不想在CloudFormation模板中创建这些特定于应用程序的权限。
"目前,最多只能向实例配置文件分配一个角色。"
基本上,我想在模板中保留下面的角色和策略创建,以便策略可以引用模板创建的SQS资源(即“Resource”:[{"Fn :: GetAtt": ["LifecycleSQS",“Arn”]}]),同时还分配一个预先存在的角色,该角色将为实例上的应用程序授予权限。我不想在CloudFormation模板中创建这些特定于应用程序的权限。
"InstanceRole":{
"Type":"AWS::IAM::Role",
"Properties":{
"AssumeRolePolicyDocument":{
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":[
"autoscaling.amazonaws.com"
]
},
"Action":[
"sts:AssumeRole"
]
}
]
},
"Path":"/"
}
},
"RolePolicies":{
"Type":"AWS::IAM::Policy",
"Properties":{
"PolicyName": "MyRolePolicy,
"PolicyDocument":{
"Statement":[
{
"Effect": "Allow",
"Resource": [{ "Fn::GetAtt" : ["LifecycleSQS", "Arn"] }],
"Action": [
"sqs:SendMessage",
"sqs:GetQueueUrl",
"sns:Publish"
]
}
]
},
"Roles":[
{
"Ref":"InstanceRole"
}
]
}
},
"InstanceProfile":{
"Type":"AWS::IAM::InstanceProfile",
"Properties":{
"Path":"/",
"Roles":[
{
"Ref":"InstanceRole"
}
]
}
}