关于配置文件 IAM 角色 - Amazon AppConfig
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关于配置文件 IAM 角色

您可以使用创建提供配置数据访问权限的 IAM 角色 Amazon AppConfig。或者您可以自行创建 IAM 角色。如果您使用创建角色 Amazon AppConfig,则系统将创建该角色并根据您选择的配置源类型指定以下权限策略之一。

配置源为 Secrets Manager 密钥

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
             ],
            "Resource": [
                "arn:aws:secretsmanager:Amazon Web Services 区域:account_ID:secret:secret_name-a1b2c3"
            ]
        }
    ]
}

配置源是 Parameter Store 参数

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetParameter"
            ],
            "Resource": [
                "arn:aws:ssm:Amazon Web Services 区域:account_ID:parameter/parameter_name"
            ]
        }
    ]
    }

配置源是 SSM 文档

{

    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetDocument"
            ],
            "Resource": [
                "arn:aws:ssm:Amazon Web Services 区域:account_ID:document/document_name"
            ]
        }
    ]
}

如果您使用创建角色 Amazon AppConfig,则系统还会为该角色创建以下信任关系。

{

  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "appconfig.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}