サービスロールとサービスにリンクされたロール
サービスロール
今まで普通に使ってた信頼関係のawsのurlが入っているやつ
ecsのタスク実行ロールとか
code:json
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}
}
こういうの
AWSサービスにリンクされたロール
サービスにリンクされたロールは必ず一意であり複数作成できない
全てのAWSサービスで用意されているわけではない
そのサービスを操作した一番最初のアクションで作成される
そのサービスの画面オペレーションで裏側で色々と操作されるのに使用する権限
AWSサービスにリンクされたロールを作成できて渡すポリシー
サービスにリンクされたロールの作成
それをサービスに渡せる
code:json
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"iam:ListRoles",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
]
}
hiroki.icon*を入れてると警告がでるからだめって言われるパターンとか