AWS Amplify CLI与CloudFormation嵌套栈权限变更解析

背景概述

近期AWS CloudFormation服务对嵌套栈的权限模型进行了重要变更，这一变更直接影响到了使用AWS Amplify CLI进行应用部署的开发团队。作为AWS生态中的重要开发工具，Amplify CLI在底层大量依赖CloudFormation进行资源编排，因此需要开发者特别关注这一权限模型的调整。

权限变更详情

在2024年1月31日前，CloudFormation对嵌套栈的操作权限较为宽松：只要父栈操作被允许，其包含的嵌套栈操作也会自动获得授权。然而，新的权限模型要求对嵌套栈进行显式授权：

1. 创建场景：当模板中添加新的嵌套栈并尝试更新父栈时，现在需要显式授予CreateStack权限
2. 删除场景：当从模板中移除嵌套栈并更新父栈时，需要显式授予DeleteStack权限

AWS计划在2024年4月5日全面实施这一变更，届时所有账户都将遵循新的权限模型。

Amplify CLI的应对方案

对于使用Amplify CLI的开发者，需要注意以下几点：

1. 默认策略分析：Amplify CLI使用的默认AdministratorAccess-Amplify策略已经包含了对amplify-*前缀栈的完整操作权限，包括：

   • 栈的创建、更新和删除
   • 变更集操作
   • 栈资源描述和查询
   • 栈集操作

2. 自定义策略调整：如果项目中使用的是自定义IAM策略，需要确保策略中包含对嵌套栈的显式授权。建议检查策略中是否包含以下关键权限：

   • cloudformation:CreateStack
   • cloudformation:DeleteStack
   • cloudformation:UpdateStack 并且这些权限的资源ARN应正确指向所有可能的嵌套栈资源。

最佳实践建议

1. 权限范围控制：虽然可以直接使用通配符(*)授权所有CloudFormation操作，但建议遵循最小权限原则，将权限限定在amplify-*资源范围内。

2. 测试环境验证：在正式环境部署前，建议在测试环境中验证新的权限设置是否满足嵌套栈操作需求。

3. 监控与审计：变更实施后，应密切监控部署过程，并通过CloudTrail日志审计权限使用情况。

4. 多环境考虑：对于拥有开发、测试、生产等多环境的项目，需要确保每个环境的IAM策略都进行了相应更新。

总结

AWS CloudFormation对嵌套栈权限模型的变更是为了提高安全性和权限控制的精确性。作为Amplify CLI用户，理解这一变更并及时调整权限策略，可以确保应用部署流程不受影响。对于大多数使用默认配置的项目，这一变更不会造成影响；而使用自定义IAM策略的项目则需要仔细检查并更新权限设置。