问题标签 [amazon-iam]

我正在尝试查看哪个用户负责 S3 中的更改（在存储桶级别）。对于在 S3 存储桶级别或创建实例的 EC2 执行的操作，我找不到审计跟踪。Beanstalk 有机器执行的操作的日志，但没有用户执行的操作。

AWS 周围有没有一种方法可以让我们在 IAM 或任何其他位置看到这些信息？

PS：我对提供访问日志的 S3 日志存储桶不感兴趣

我有一个 Web 应用程序需要根据用户从主页单击的帐户从多个帐户访问 IAM 信息。我目前的印象是只有一组访问密钥可用于 .net 应用程序。我还知道，当您在 web.config 文件中包含多个访问密钥时，会使用最后列出的密钥。有没有人找到在单个应用程序中包含多个访问密钥的方法？

在实例或任何其他地方存储永久 IAM 访问凭证（密钥、秘密）似乎真的不安全。

我理解角色的方式 - 如果我可以使用角色管理执行某些任务的权限，那将是有意义的：

• 设置角色，设置具有承担该角色的权限的用户组，将用户添加到该组
• 从命令行输入类似“ec2_assume_role rolename time_till_expiration”
• 然后在提示符下输入我的用户名和密码
• 获取那些临时密钥（可以通过脚本将它们直接设置到环境中）

根据我在 IAM 文档中找到的内容 - 假设角色需要一组密钥 - 所以实际上并不适合人类。我可以设置一个服务器来启用与上述类似的功能，但该服务器必须存储自己的密钥或至少在内存中，而且我必须复制 IAM 已经做得很好的用户名/密码管理。

我错过/误解了什么吗？

谢谢

我创建了一个 IAM 用户并将其完全控制（操作 *）授予特定存储桶。

用户需要能够在此存储桶中放置图像、删除图像和创建子文件夹（我认为这可能是 put 的一部分）。

现在我想限制此 IAM 用户帐户的访问量，并想问是否有人知道如果我需要上述操作，我应该将其限制在什么范围内？

我需要采取什么行动？

• s3:putObject
• s3：删除对象

我需要采取任何其他措施吗？我一直在试图破译这个 AWS 页面：http ://docs.aws.amazon.com/AmazonS3/latest/dev/UsingIAMPolicies.html

谢谢你

我正在围绕使用 S3 进行一些研究。我想要实现的基本上是以与文件系统相同的方式控制对 S3 存储桶中对象的访问，但对于 IAM 联合用户。

让我们假设以下场景

可以使用 ACL 和 Amazon“本机”用户和组来实现这种配置。另一方面，对于联合用户，我唯一能找到的就是生成具有分配存储桶策略的临时令牌。

如果我理解正确，存储桶策略与 ACL 的工作方式相反（定义用户有权访问哪些对象，而 ACL 定义谁有权访问该对象）

我的问题是。是否可以在 ACL 中分配联合用户（或以其他方式为联合用户实现相同的目标）？

我想在文件系统上实现相同的行为，在文件系统上您有用户在组中，并且在您标记哪些组可以访问它们的对象上

假设字段“x-amz-meta-seclevels”包含有权访问文件的组（Group1、Group2、admin3rdfloor），并附有提供的策略（这是不正确的，但我想描述一下我的想法） IAM 联合用户，我可以授予此用户访问在 x-amz-meta-seclevels 字段中包含 admin3rdfloor 值的所有文件的权限。

}

这是否可以通过任何方式实现？

提前感谢您的帮助！

我喜欢与成员分享我的Amazon S3私有内容。最初，我通过创建AWS Identity and Access Management (IAM)用户账户来做到这一点，但人们开始传递这些凭证。

所以我发现我可以向通过 IAM 创建的每个用户账户分发一个AWS 多重身份验证 (MFA)令牌/密钥卡。但是，测试显示我仍然可以下载文件，S3 不会询问令牌/离岸生成的 6 位数字。

我在这里想念什么？或者，如果我走错了路，请提出一种检测/防止成员共享这些凭据的方法。谢谢

我需要检查一个值是否已使用 C# 成功上传到表中。该表使用哈希和范围。目前我使用查询请求->查询响应->查询结果，然后检查结果是否为空。然而，这样做的问题是整个表条目（即所有字段）都被传递回程序。这不够安全。

我查看了 AWS IAM 访问策略，但是我似乎无法将“getitem”限制在字段级别，只能限制在表级别。

有关如何制定仅允许用户从表中获取哈希/范围的 IAM 访问策略的任何建议？

我正在构建一个应用程序，它使用亚马逊的安全令牌服务来创建临时用户来访问 S3 存储桶上的子目录。用户由对存储桶具有完全读/写访问权限（以及创建用户所需的权限）的 IAM 用户创建。

我创建的用户可以完美地与会话到期等一起工作，但是我在制定正确的策略以允许基于前缀的键列表时遇到问题。我希望最终用户拥有的权限是：

1. 读取某些已定义前缀中的对象
2. 将对象写入相同的定义前缀
3. 列出所有位于定义前缀中的对象

我设法让读写工作，但不知何故，无论我尝试什么，列表访问都无法正常工作。这是我最近时使用的 Ruby 代码：

如果我记得，这让我可以阅读和写作，但不能列出。由于我仍在开发中，我已将代码更改为：

这可以 100% 正常工作，但有一个明显的问题是没有任何东西被限制在允许用户破坏彼此工作的前缀上。

我的政策做错了什么？

我正在用 Java 编写自己的报告软件，并计划使用 RDS 进行数据存储。我想用 AWS IAM 做 AA。是否有任何您可能知道并与我分享的使用 AWS Identity and Access Management 进行身份验证和授权的示例？

我不是在研究如何从亚马逊的控制台设置用户或如何发出控制台命令。相反，我希望看到一些 Java 代码如何识别用户是否使用他/她的凭据（用户 ID、密码组合）进行了身份验证，以及该人是否有权访问特定报告。

我创建了一个 CloudFormation 模板，并且我想创建 IAM 用户，为此我使用了这个 JSON 字符串：

然后对于我使用的组：

创建堆栈后，我得到以下信息：

用户名 - IAMUsers-CFNUser-E1BT342YK7G6

组名 - IAMUsers-CFNUserGroup-1UBUBRYALTIMI

所以我的问题是，如何在这里设置用户名？组名也一样？