CDKデプロイを使用するにはどのようなIAMアクセス許可が必要ですか？

私のチームには、実行IAMの役割の下で実行されるパイプラインがあります。 CloudformationまたはCDKを介してコードをAWSに展開します。

過去に、実行IAMの役割を使用して、CloudFormation Stackを作成/更新する前に、いくつかのアーティファクトをS3バケットにアップロードします。

私たちは最近CDKに切り替えて、できるだけCDK展開を使用して自動化されているのを試みていますが、以前に持っていないものを追加する必要がある多くの権限項目に稼働しています（たとえば、CloudFormation：GetTemplate）。

私たちはただ付与されたくない*（最小特権をフォローしたい）が、明確な文書化リストが見つかりません。

CDKデプロイが依存する権限の標準リストはありますか？標準リストを超えて「いいね」を「いい」といいのはいいですか？

2019/07/19Alan Kay

CDKアプリを展開するために、以下のポリシーを使用しています。 CFNフルアクセスとS3 CDKステージングバケットへのフルアクセスの他に、それはDO すべて Cloudformationを通して許可を与えます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "cloudformation:*"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "cloudformation.amazonaws.com"
                    ]
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::cdktoolkit-stagingbucket-*",
            "Effect": "Allow"
        }
    ]
}
 _

2020/04/08udondan