问题标签 [amazon-iam]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
406 浏览

amazon-ec2 - 如何使用 IAM 在 EC2 中启动私有实例

如何由用户 A 启动 EC2 实例。

并且用户 A 启动的实例无法被用户 B 看到。

我可以用 IAM 做到这一点吗?

我试过这套:

但它隐藏了所有内容,包括用户 A 启动的实例

0 投票
2 回答
6475 浏览

amazon-ec2 - IAM 角色临时凭证可以在 cloudformation 模板中使用吗?

我正在构建一个需要访问私有 S3 存储桶以下载我的应用程序的最新版本的堆栈。我正在使用IAM 角色,这是一项相对较新的 AWS 功能,它允许为 EC2 实例分配特定角色,然后将这些角色与 IAM 策略相结合。不幸的是,这些角色带有在实例化时生成的临时 API 凭证。这不是很严重,但它迫使我做这个 cloud-init 脚本之类的事情(简化为相关位):

首先也是最重要的:这很有效,而且效果很好。尽管如此,我很想使用 CloudFormation 对源访问的现有支持。具体来说,cfn-init支持使用身份验证资源来获取受保护的数据,包括 S3 存储桶。无论如何可以从内部获取这些密钥cfn-init,或者可能将 IAM 角色绑定到身份验证资源?

我想另一种选择是将我的来源放在其他经过身份验证的服务之后,但目前这不是一个可行的选择。

另一个有希望的线索是AWS::IAM::AccessKey 资源,但文档不建议它可以与角色一起使用。反正我要试试。

0 投票
1 回答
5429 浏览

permissions - 为什么我的 AWS S3 存储桶策略没有覆盖我的 IAM 策略?

我的 IAM 帐户中有一个名为“testuser”的用户,他具有管理员权限,如下所示:

然后我在我的 S3 存储桶上有一个拒绝此用户访问的策略,如下所示:

那么,S3 存储桶策略中的显式拒绝应该覆盖 IAM 策略中的允许,对吗?但是当我以 testuser 身份登录时,我仍然可以访问该存储桶中的所有内容 - 我什至可以更改或删除该存储桶(以及所有其他存储桶)的存储桶策略。为什么我的明确否认没有做任何事情?

0 投票
1 回答
159 浏览

security - 开发中使用的开源 IAM 工具

我正在寻找一种用于开发的开源轻量级 IAM,以替代生产中的真正商业 IAM。具有基本 IAM 功能、易于安装且易于配置以注入 HTTP 标头(如用户组)的东西。OpenAM 是一个不错的选择吗?有什么建议吗?

0 投票
2 回答
543 浏览

android - Android:IAM 用户和 S3

我正在使用安卓设备和亚马逊的 S3 存储系统。

我有一个主用户帐户,并且我创建了代表我的用户访问存储的子用户。

通常,我会使用以下操作与我的主要用户访问 S3:

其中 ACCESS_KEY_ID 和 SECRET_KEY 是为我的主要用户帐户提供的。

我正在尝试对我的 IAM 用户“Alice”执行此操作。这个用户被赋予了它自己的 ACCESS_KEY_ID。使用上面的代码,我使用 Alice 的 ACCESS_KEY_ID 和上面的相同 SECRET_KEY。用户 Alice 没有特殊的权限或限制,因此我假设用户可以创建存储桶。

调用createBucket的时候报错:

我似乎找不到另一种使用 IAM 用户通过 Android API 对 S3 进行身份验证的方法。

任何帮助表示赞赏,谢谢。

0 投票
1 回答
625 浏览

amazon-s3 - 使用 BOTO 和 IAM 浏览/下载 S3

在 AWS IAM 示例之后,我的 conf 如下。但是,当我使用附加了此 IAM 策略的用户凭证时,这会导致“访问被拒绝”。

删除 Stringlike 条件可以正常工作。

此外,为了从存储桶“子文件夹”中获取对象,

...“操作”:“s3:GetObject” ...“资源”:“arn:aws:s3:::BUCKET/STRING/*” ...

只有这个受限的 getObject 权限是不够的(再次被拒绝),而如果我将 ListBucket 策略添加到整个存储桶,它就可以工作。当您需要在目录上设置 READ(list) 位以访问(读取)同一目录中包含的 777 文件时,AWS 是否像在 *nix 中一样工作?

你能帮忙吗?我不确定我对 IAM 政策的理解。谢谢

0 投票
1 回答
1665 浏览

amazon-web-services - 通过元数据查询更新 IAM 凭证时是否有宽限期?

EC2 实例可以使用“169.254.169.254”的 HTTP GET 检索元数据。如果实例正确分配了 IAM 角色,它可以自动“发现”其 API 凭证。

但这些都是暂时的,必须定期更新。如果它们在检查后不到 5 分钟过期,Boto 会自动执行此操作。

有时,更新可能会很长(几分钟)。在我切换到这个系统之前,是否有一段时间可以同时使用当前和“未来”凭证,或者当我查询新凭证时,当前凭证是否失效?

0 投票
3 回答
7925 浏览

amazon-s3 - 为什么 boto 可能会被拒绝使用正确的 IAM 密钥访问 S3?

我正在尝试使用 boto 访问 S3 上的存储桶。我已获得对存储桶的读取访问权限,并且当我在 S3 浏览器中探索它时,我的密钥正在工作。以下代码返回 403 Forbidden Access Denied。

通过 boto 配置文件使用访问密钥和秘密访问密钥时也会发生这种情况。由于密钥可能来自 IAM,我还需要做些什么吗?这是否表明设置中有错误?我对 IAM 了解不多,我只是得到了钥匙。

0 投票
2 回答
228 浏览

web - 用于网站身份验证的 Amazon IAM

Amazon AWS IAM 可以用于用户登录网站吗?

0 投票
2 回答
2838 浏览

java - 如何在 AWS 中创建新用户

我试图弄清楚如何使用适用于 Java 的 AWS API 创建新用户,但我不知道我需要做什么。

到目前为止,我设法编写了这段代码,它给了我一个 CreateUserRequest、一个 CreateAccessKeyRequest 和一个 BasicAWSCredentials,所有字段都填满了。

我只是不知道下一步该做什么。我必须使用 CreateUserResult 吗?如何?

编辑:我今天仍在努力。

我想我需要使用 AmazonIdentityManagementClient 类的 createUser(CreateUserRequest) 方法。(它返回一个 CreateUserResult,我不应该手动实例化这个类)

问题是,我不知道如何使用正确的 AWSCredentials 正确初始化此类(我正在使用帐户的 AccessKey 和 SecretAccessKey)。