问题标签 [amazon-iam]

我有一个用例，其中我有两个 AWS 账户 A 和 B。我想订阅一个 SQS 队列 (Q)（由账户 B 拥有）以使用角色收听来自账户 A 拥有的 SNS 主题 (N) 的通知R 由 A 定义（A 授予对 B 的角色访问权限）。

我按照http://docs.aws.amazon.com/IAM/latest/UserGuide/cross-acct-access.html中的步骤操作，但是当我尝试将队列 Q 订阅到主题 N 时，出现“未授权”错误。此外，角色应该用于编程访问，但 SQS 没有订阅主题的 API ( http://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/Operations.html )。

我如何使这项工作？

非常感谢！

基本上我将图像存储在 S3 上的存储桶中。但是我很难在我的存储桶策略中添加什么。我非常想知道我的一个桶下面有什么

A) 正确 B) 安全

目标：从我的 [应用服务器] 读取/显示图像

我希望能够从存储桶中读取、写入和删除资产。

我有一个托管在 Amazon elasticbeanstalk 上的网站，现在我需要为它配置 https 和 SSL。我已经完成了“使用您的 DNS 提供商创建自定义域”下面链接的第一步：

http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/configuring-https.html

所以现在我的亚马逊 elasticbeanstalk 站点 example.elasticbeanstalk.com 有自定义域 example.com（我为此使用了 Amazon Route 53）。

我现在从上面的链接执行第 2 步，并按照以下链接中的说明进行操作：

http://docs.aws.amazon.com/IAM/latest/UserGuide/InstallCert.html

我创建了需要上传到 Amazon IAM 的 privatekey.pem 和 server.crt。我需要帮助键入以下命令上传到 IAM 的格式。我的 privatekey.pem 和 server.crt 位于我 MAC 上的 Users/Kash

aws iam upload-server-certificate --server-certificate-name CertificateName --certificate-body file://public_key_certificate_file --private-key file://privatekey.pem

我输入了以下内容，但收到错误“关键字必须是字符串”

aws iam upload-server-certificate --server-certificate-name "TestCert" --certificate-body file://server.crt --private-key file://privatekey.pem

我不熟悉在终端上输入命令，需要帮助

我有一个存储桶，我试图授予新用户访问权限，但新权限或策略不适用于旧项目。

有没有办法让这个 iam 用户轻松访问所有 s3 项目？

我无法使用 S3 IAM 策略使用 Paperclip 进行上传。我什至在直接上传 jQuery 时遇到问题（没有回形针）。我的场景如下，我有一个包含许多站点的应用程序。每个站点都有自己的存储桶，并且应该只能访问自己的存储桶，其他人不能访问。IAM 示例策略文档准确地解释了我想要在“示例：允许每个 IAM 用户访问存储桶中的文件夹”下执行的操作。我为应用程序设置了一个 IAM 组，并且该组中每个站点都有一个用户。这些 IAM 用户属于该组。该组的策略如下：

这是我在存储桶上的 CORS 配置，当然，对于开发人员，它稍后会被锁定：

这是我的回形针设置：

我以前直接在存储桶上使用策略，它确实有效，但当我进入具有许多“站点”的生产环境时，它并不像我需要的那样灵活。据我所知，我已经完全按照文档进行了操作，但我所做的任何事情都会导致“拒绝访问”。在这一点上，我什至不确定我的问题是与我的 IAM 策略还是我的 Paperclip 配置有关。

编辑：澄清。

编辑2：最终解决方案

这是我基于这篇文章的最终 IAM 政策：

还有我更新的回形针设置：

在回形针路径中包含用户名很重要。我假设亚马逊会从凭证中推断出这一点，但事实并非如此。

我正在寻找一项政策，让会计师管理付款方式并仅观察使用活动。有可能制定这样的政策吗？

谢谢

我想要做的是列出存储桶的所有内容，除了特定文件夹（存档）的内容。问题是当我“ls”存储桶时，我也从“存档”文件夹中获取文件。这是我目前的设置：

我应该创建一组新的 IAM 凭证，创建一个新的 S3 存储桶，并授予该 IAM 帐户对 S3 存储桶的只读/只写访问权限。

最简单的方法是什么？

我有一个运行服务器的 Amazon EC2 实例，该服务器需要为其客户端（Windows 7/8、iPad 等）提供对 S3 资源的联合访问。到目前为止，我已经创建了以下内容：

• 一个 IAM 角色，用于限制服务器对 S3 资源和其他 Amazon Web 服务的访问。
• 能够使用 STS 服务的 IAM 用户，即 GetFederationToken。

通常，客户端将请求访问以获取或将对象放入 S3，从不删除。因此，在放置文件的情况下，与其让客户端将文件上传到服务器，然后将其从服务器转发到 S3，我想为客户端提供临时访问凭证，以便将文件直接放入适当的 S3 存储桶中.

EC2 实例 IAM 角色如下所示：

STS 令牌颁发者 IAM 用户政策是：

在我的服务器端代码中，我创建了 STS 客户端、联合令牌请求并进行 GetFederationToken 调用，如下所示：

我无法分享 Generate* 函数的实现，但我知道那些工作。

这是奇怪的事情。如果我使用与用户绑定的 IAM 用户凭证，其访问策略与上面显示的 EC2 实例角色完全相同，那么一切都会按预期工作，并且客户端能够执行所有预期的 S3 操作。

因此，在所有这些背景下，我的问题是：EC2 实例上的应用程序是否仍能提供对其客户端的联合访问？如果是这样，上述策略对于授予应用程序访问这些 AWS 操作的权限是否正确，即请求和提供可以访问 S3 资源的 sts 联合令牌？如果不是，应如何修改它们以允许此类访问？

所以我有一个使用 AWS 的 IAM 基础设施的移动应用程序，它有效地允许我向匿名移动设备提供临时访问令牌，以便他们可以直接从移动设备运行对 AWS 服务的查询。

有谁知道 Windows Azure 是否也可以替代这种东西？我已经阅读了有关 Windows Azure 访问控制的信息，但所有示例似乎都集中在允许通过 Facebook、Twitter 或 Windows Live 等进行身份验证。就我而言，我不希望移动用户必须“登录”在任何地方，我只希望他们能够访问 Azure 服务，例如表存储，而不必通过我的服务器。

谢谢！