问题标签 [amazon-iam]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
amazon-ec2 - 如何使用 IAM 在 EC2 中启动私有实例
如何由用户 A 启动 EC2 实例。
并且用户 A 启动的实例无法被用户 B 看到。
我可以用 IAM 做到这一点吗?
我试过这套:
但它隐藏了所有内容,包括用户 A 启动的实例
amazon-ec2 - IAM 角色临时凭证可以在 cloudformation 模板中使用吗?
我正在构建一个需要访问私有 S3 存储桶以下载我的应用程序的最新版本的堆栈。我正在使用IAM 角色,这是一项相对较新的 AWS 功能,它允许为 EC2 实例分配特定角色,然后将这些角色与 IAM 策略相结合。不幸的是,这些角色带有在实例化时生成的临时 API 凭证。这不是很严重,但它迫使我做这个 cloud-init 脚本之类的事情(简化为相关位):
首先也是最重要的:这很有效,而且效果很好。尽管如此,我很想使用 CloudFormation 对源访问的现有支持。具体来说,cfn-init支持使用身份验证资源来获取受保护的数据,包括 S3 存储桶。无论如何可以从内部获取这些密钥cfn-init,或者可能将 IAM 角色绑定到身份验证资源?
我想另一种选择是将我的来源放在其他经过身份验证的服务之后,但目前这不是一个可行的选择。
另一个有希望的线索是AWS::IAM::AccessKey 资源,但文档不建议它可以与角色一起使用。反正我要试试。
permissions - 为什么我的 AWS S3 存储桶策略没有覆盖我的 IAM 策略?
我的 IAM 帐户中有一个名为“testuser”的用户,他具有管理员权限,如下所示:
然后我在我的 S3 存储桶上有一个拒绝此用户访问的策略,如下所示:
那么,S3 存储桶策略中的显式拒绝应该覆盖 IAM 策略中的允许,对吗?但是当我以 testuser 身份登录时,我仍然可以访问该存储桶中的所有内容 - 我什至可以更改或删除该存储桶(以及所有其他存储桶)的存储桶策略。为什么我的明确否认没有做任何事情?
security - 开发中使用的开源 IAM 工具
我正在寻找一种用于开发的开源轻量级 IAM,以替代生产中的真正商业 IAM。具有基本 IAM 功能、易于安装且易于配置以注入 HTTP 标头(如用户组)的东西。OpenAM 是一个不错的选择吗?有什么建议吗?
android - Android:IAM 用户和 S3
我正在使用安卓设备和亚马逊的 S3 存储系统。
我有一个主用户帐户,并且我创建了代表我的用户访问存储的子用户。
通常,我会使用以下操作与我的主要用户访问 S3:
其中 ACCESS_KEY_ID 和 SECRET_KEY 是为我的主要用户帐户提供的。
我正在尝试对我的 IAM 用户“Alice”执行此操作。这个用户被赋予了它自己的 ACCESS_KEY_ID。使用上面的代码,我使用 Alice 的 ACCESS_KEY_ID 和上面的相同 SECRET_KEY。用户 Alice 没有特殊的权限或限制,因此我假设用户可以创建存储桶。
调用createBucket的时候报错:
我似乎找不到另一种使用 IAM 用户通过 Android API 对 S3 进行身份验证的方法。
任何帮助表示赞赏,谢谢。
amazon-s3 - 使用 BOTO 和 IAM 浏览/下载 S3
在 AWS IAM 示例之后,我的 conf 如下。但是,当我使用附加了此 IAM 策略的用户凭证时,这会导致“访问被拒绝”。
删除 Stringlike 条件可以正常工作。
此外,为了从存储桶“子文件夹”中获取对象,
...“操作”:“s3:GetObject” ...“资源”:“arn:aws:s3:::BUCKET/STRING/*” ...
只有这个受限的 getObject 权限是不够的(再次被拒绝),而如果我将 ListBucket 策略添加到整个存储桶,它就可以工作。当您需要在目录上设置 READ(list) 位以访问(读取)同一目录中包含的 777 文件时,AWS 是否像在 *nix 中一样工作?
你能帮忙吗?我不确定我对 IAM 政策的理解。谢谢
amazon-web-services - 通过元数据查询更新 IAM 凭证时是否有宽限期?
EC2 实例可以使用“169.254.169.254”的 HTTP GET 检索元数据。如果实例正确分配了 IAM 角色,它可以自动“发现”其 API 凭证。
但这些都是暂时的,必须定期更新。如果它们在检查后不到 5 分钟过期,Boto 会自动执行此操作。
有时,更新可能会很长(几分钟)。在我切换到这个系统之前,是否有一段时间可以同时使用当前和“未来”凭证,或者当我查询新凭证时,当前凭证是否失效?
amazon-s3 - 为什么 boto 可能会被拒绝使用正确的 IAM 密钥访问 S3?
我正在尝试使用 boto 访问 S3 上的存储桶。我已获得对存储桶的读取访问权限,并且当我在 S3 浏览器中探索它时,我的密钥正在工作。以下代码返回 403 Forbidden Access Denied。
通过 boto 配置文件使用访问密钥和秘密访问密钥时也会发生这种情况。由于密钥可能来自 IAM,我还需要做些什么吗?这是否表明设置中有错误?我对 IAM 了解不多,我只是得到了钥匙。
web - 用于网站身份验证的 Amazon IAM
Amazon AWS IAM 可以用于用户登录网站吗?
java - 如何在 AWS 中创建新用户
我试图弄清楚如何使用适用于 Java 的 AWS API 创建新用户,但我不知道我需要做什么。
到目前为止,我设法编写了这段代码,它给了我一个 CreateUserRequest、一个 CreateAccessKeyRequest 和一个 BasicAWSCredentials,所有字段都填满了。
我只是不知道下一步该做什么。我必须使用 CreateUserResult 吗?如何?
编辑:我今天仍在努力。
我想我需要使用 AmazonIdentityManagementClient 类的 createUser(CreateUserRequest) 方法。(它返回一个 CreateUserResult,我不应该手动实例化这个类)
问题是,我不知道如何使用正确的 AWSCredentials 正确初始化此类(我正在使用帐户的 AccessKey 和 SecretAccessKey)。