我正在创建一个RDS cluster并且,在同一模板中,具有某些权限的策略允许对该集群执行特定操作。
Statement:
- Effect: Allow
Actions:
- 'rds-data:BatchExecuteStatement'
- 'rds-data:ExecuteStatement'
Resource: 'arn:aws:rds:us-east-1:1111111111:cluster:production-mycluster-rdscluster-no1yzvzs29sq'
问题是 AWS::RDS::DBCluster不支持Fn::GetAtt ARN ,并且,由于 RDS 在 ARN 末尾添加该随机字符串,因此在此示例中 no1yzvzs29sq 我不知道如何使用通配符之类的内容将名称的一部分“列入白名单”。
我想要类似的东西
arn:aws:rds:us-east-1:1111111111:cluster:production-mycluster-rdscluster-*
但是这不起作用。我将不胜感激的帮助!
最佳答案
您可以根据集群名称自行构建 ARN。
例如:
Statement:
- Effect: Allow
Actions:
- 'rds-data:BatchExecuteStatement'
- 'rds-data:ExecuteStatement'
Resource: !Sub 'arn:${AWS::Partition}:rds:${AWS::Region}:${AWS::AccountId}:cluster:${MyDBCluster}'
关于amazon-web-services - AWS CloudFormation 创建 RDS 集群并将其 ARN 添加到同一模板中的策略中,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62417892/