В настоящее время я пишу шаблон формирования облака (CFT) для KMS (службы управления ключами), где я хочу предоставить ключевые административные разрешения и разрешения на использование ключей пользователям, отличным от root. Я хочу, чтобы это вызывалось динамически через CFT. На данный момент я могу предоставить root эти разрешения. Ниже приводится политика:
{
"Sid": "Allow attachment of persistent resources",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:user/KMSUser"
{
"Fn::Join": [
":",
[
"arn:aws:iam:",
{
"Ref": "AWS::AccountId"
},
"root"
]
]
}
]
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
Как я могу получить arn и имя пользователя динамически?