我有一个 IAM 策略，该策略是在 AWS 控制台中创建另一个资源时自动创建的。我正在尝试将其添加到现有的 CloudFormation 堆栈中。

该策略具有以下语句，其中包含“条件”属性:

{
    "Sid": "DecryptSecretValue",
    "Action": [
        "kms:Decrypt"
    ],
    "Effect": "Allow",
    "Resource": [
        "arn:aws:kms:MyRegion:MyAccountId:key/4f402c6e-9624-40a4-8d4d-c0f2efe88602"
    ],
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "secretsmanager.eu-west-1.amazonaws.com"
        }
    }
}

应如何在 CloudFormation YAML 模板中构建此结构？到目前为止我已经:

Statement:
  - Effect: Allow
    Action: kms:DecryptSecretValue
    Resource: arn:aws:kms:MyRegion:MyAccountId:key/4f402c6e-9624-40a4-8d4d-c0f2efe88602

但我不知道如何包含“条件”属性。有什么想法吗？

最佳答案

对于 json 策略的每个级别，您都在 yaml 上添加缩进。
因此，Condition 与 Effect、Resource 和 Action 处于同一级别。
StringEquals 是从 Conditions 缩进的。
kms:ViaService 是从 StringEquals 缩进的。

由于 kms:ViaService 名称中包含冒号 (:)，因此您需要将其添加在引号之间。

Statement:
  - Effect: Allow
    Action: "kms:DecryptSecretValue"
    Resource: "arn:aws:kms:MyRegion:MyAccountId:key/4f402c6e-9624-40a4-8d4d-c0f2efe88602"
    Condition:
      StringEquals:
        "kms:ViaService": "secretsmanager.eu-west-1.amazonaws.com"

关于amazon-web-services - CloudFormation YAML - 带有条件语句的 IAM 策略，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/67471033/