在执行cdk-pipelines期间会创建一些新角色。如何强制将权限边界附加到这些新创建的角色? 背景:我们的AWS账户只允许创建具有特定权限边界的角色。如果未指定权限边界,则角色创建将失败。 我的CDK项目在尝试在管道中创建新角色时失败。 API: iam:CreateRole User: arn:aws:sts::305326993135:assumed-role/cdk-hnb659fds-cfn-exec-role-305326993135-ap-southeast-1/AWSCloudFormation is not authorized to perform: iam:Creat
我是cdk新手,正在尝试用以下代码用CDK+Python创建一个实例配置文件。我已经通过CDK成功创建了角色(gitLabRunner-glue),并希望将其与intance配置文件一起使用。然而,当我运行下面的代码时,我得到了一个错误gitLabRunner-glue already exists
有人能解释一下我遗漏了什么吗?
from aws_cdk import core as cdk
from aws_cdk import aws_glue as glue
from aws_cdk import aws_ec2 as _ec2
from aws_cdk import aws_iam
let servicePrincipal: any = new iam.ServicePrincipal("lambda.amazonaws.com");
let policyDoc = new iam.PolicyDocument({
statements: [
new iam.PolicyStatement({
actions: ["sts:AssumeRole"],
principals: [servicePrincipal],
effect: ia
我已经将我的cdk从第1版更新到了第2版,当我尝试在本地使用npm run cdk -- deploy --context awsEnv=dev --all --profile=dev进行此操作时,这是完美的。
然而,当循环CI/CD管道试图在同一个dev环境中部署时,它会引发一个错误。
User: arn:aws:sts::xxxxxxxx:assumed-role/*******************************************************/jatinmehrotra is not authorized to perform: ssm:GetParam
我正试图在我刚刚通过Visual创建的一个新网站上初始化AWS。
但是,当我运行init逗号时,我得到了错误:cdk init不能在非空目录中运行。
❯ cdk init app --language=csharp
`cdk init` cannot be run in a non-empty directory!
使用从scrach开始的示例(在一个空目录中)。
可以在现有的解决方案/项目中初始化CDK吗?
我正在尝试从帐户A(部署帐户)部署AWS CDK管道到帐户B(工作负载帐户)。作为我的CDK代码的一部分,我正在执行VPC ID的查找:
var lambdaVpc = Vpc.FromLookup(this, "VPC", new VpcLookupOptions{
VpcId = Vpc.id
});
但是,当我的管道运行时,我会得到以下错误:
Could not assume role in target account using current credentials (which are for account ${Depl
我正在尝试为亚马逊网络服务CodeBuild创建一个服务角色。 我可以像这样创建一个角色: from aws_cdk import aws_iam as iam
role = iam.Role(
self, 'CodebuildServiceRole',
assumed_by=iam.ServicePrincipal('codebuild.amazonaws.com'),
max_session_duration=cdk.Duration.hours(1),
) 现在,我需要将亚马逊提供的AWSCodeBuildAdminAccess
您可以在这里找到用于复制我的问题的cdk应用程序,。在README中解释的用法说明
我需要通过发出以下命令来使用角色部署CDK应用程序
cdk -r arn:aws:iam::000000000000:role/fooRole deploy
但随后抛出了一个错误
Assuming role failed: User: arn:aws:iam::000000000000:user/fooUser is not authorized to
perform: sts:AssumeRole on resource: arn:aws:iam::000000000000:role/barRole
当然,
我正在尝试使用S3中的模型构件中的CDK部署。
Sagemaker模型需要execution_rol_arn。因此,我使用CDK创建了一个角色,并将其作为sagemaker模型的参数传递。但是它说在创建模型时角色并不存在。但是如果通过这个命令添加对资源的依赖,sagemaker_model.add_depends_on(model_role)。它给了我这个错误。
type of argument target must be aws_cdk.CfnResource; got aws_cdk.aws_iam.Role instead
我的cdk代码用于sagemaker模型和Iam角色
我们正在尝试使用EKS集群设置日志记录。我们当前正在运行一个只有一个EC2实例的集群。亚马逊网络服务提供了创建必要的kubernetes配置的kubectl commands。 在将其应用于现有的EKS设置时,我们无法正确定义有权写入CloudWatch的实例角色。 cloudwatch代理在其pod日志中显示以下错误: 2020-01-07T10:20:14Z E! CreateLogStream / CreateLogGroup with log group name /aws/containerinsights/eks-test-EKS/performance stream name
我已经创建了一个事件总线,其中的目标是一个现有的通道。除了针对特定目标的执行角色之外,一切都运行良好。我正在使用一个现有的IAM角色作为一个执行角色,它附带了两个策略-- "execute-api:Invoke", "execute-api:ManageConnections"。也是由"events.amazonaws.com"假设的。但这并不是作为执行角色附加到目标上。下面是使用现有角色的代码
var role = Role.FromRoleName(this, roleId, roleName);
var rule = new Amazo