CloudFormationの実行権限を開発者権限に付与しようとして色々と調整したところ、CloudFormationで操作するリソースの権限を全て設定したのにどうにも実行でエラーになる。
エラーの内容としては、実行時になにかの値が取れないということで暗号化されたエラーメッセージみたいなものが表示されていた。
で、色々と調べたところ、どうやら以下の設定が必要になる模様。
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"iam:PassRole",
"iam:ListRoles"
],
"Resource": "arn:aws:iam::〓:role/*"
}
ユーザーID部分は伏せ字。
ListRolesの方はすべてのリソースになるようなので、ビジュアルエディタで編集するとResourceは "*" になった。
どうも、権限を他のロールに引き渡せる権限らしい。
role/* ではなく、特定のロールを指定したほうが良いのかも?
もう少し調整する予定なので試してみよう。
そのうち忘れそうな気がするので備忘録としてメモ。