问题标签 [amazon-iam]

我正在尝试更改我的接缝应用程序中的身份验证方法。我目前使用登录表单进行身份验证。将来，我想将身份验证委托给另一层，该层将使用包含经过身份验证的用户的用户名的特定 HTTP 标头重写每个请求。

我面临一个奇怪的问题：使用登录页面进行身份验证时，我能够通过 entityManager 提取用户。但是当我使用标题中的信息查询 entityManager 时，我找不到用户。entityManager 的行为就像用户不存在一样。

我已经尝试了两种方法：

• 创建一个触发身份验证过程的虚假登录页面
• 创建一个获取请求并启动身份验证过程的 servlet

两次，entityManager 都没有返回给我任何用户。

我读了很多关于 seam 如何管理持久性上下文的文章，但我没有找到一个解释清楚这个问题。你有什么想法？建议？甚至猜测？

使用 entityManager 的代码如下：

持久化上下文的配置是：

我创建了一个空的假登录页面，该页面执行页面操作（身份验证），在该页面中我获取请求用户标头，如下所示：

提前谢谢:-)

我在 IAM 用户和一个 TVM 中配置了以下策略，因为我需要在 Android 应用程序中从 S3 访问，但是，每当我尝试保存我的凭据时，我都会收到相同的“500 - 服务器错误”。我不知道这个问题，但我猜该策略配置错误：

我正在尝试创建一个使用 AWS Javascript SDK 写入 S3 的 IAM 用户。

以下：

限制 IAM 用户写入与当前 facebook 用户 ID 匹配的存储桶。但是我想限制他们写给当前的 facebook 用户 third_party_id。正在做

不起作用。

是否可以从此处列出的其他用户属性中获取权限：https ://developers.facebook.com/docs/reference/api/user/

我是新手AWS。我的客户AWS用来托管他的EC2实例。现在，我们正试图让我访问 API。显然，我需要我的身份验证详细信息来执行此操作。

他在他的账户下为我设置了一个 IAM 身份，这样我就可以登录到AWSWeb 控制台并配置 EC2 实例。但是，我终其一生都无法弄清楚我的 API 访问密钥显示在哪里。我无权查看“我的帐户”，这是我想它们会显示的地方。

那么，我要问的是，他如何通过他的帐户授予我 API 访问权限？如何使用我的 IAM 身份访问 AWS API？

我正在尝试按照 AWS 文档签署 AWS 请求中给出的示例并在 C# 中进行 ListUsers 调用。我已经到了生成签名的最后阶段（即准备提交在签名 4 请求示例中给出的签名请求）。但是我在下面粘贴的代码在提交时会抛出“错误请求”异常。

我得到的输出是：

有人可以帮我在这里做错了什么吗？

编辑：

我终于自己解决了这个问题。我不得不把它改成下面。（答案是针对 RDS，尽管我相信差异是显而易见的）。

我在存储桶demo.for.customers下有以下键

现在我有 2 个客户，即customer1和customer2。这就是我要的：

1. 仅授予他们对demo.for.customers存储桶的访问权限。
2. customer1 应该只能访问demo.for.customers/customer1/，而 customer2 应该只能访问demo.for.customers/customer2/。

而且我可以通过以下策略来实现这一点（我正在为每个客户创建策略。因此我只为下面的 customer1 粘贴一个。）我在 IAM 中定义了这个策略，而不是在 S3 中。

问题：

1. Customer1 能够看到我的所有存储桶，尽管他无法访问其中任何一个。我不想要这个。他应该只能看到demo.for.customers
2. Customer1 也可以看到demo.for.customers/customer2，尽管他无法访问它。这是非常不可接受的，因为我什至不希望他看到我在此存储桶下还有哪些其他客户文件夹。

问题：

1. 在做了很多谷歌搜索之后，我才知道没有办法列出特定的存储桶。这是真的吗？
2. 但是，我必须找到一种方法来仅列出给定用户的存储桶中的特定文件夹。怎么做？

谢谢。

我正在尝试缩小运行预定义机器映像的最小策略。该图像基于两个快照，我只希望启动“m1.medium”实例类型。

基于此，在此页面和本文的帮助下，我制定了以下政策：

该策略缩小了确切的映像、快照、安全组和密钥对，同时保持特定实例和卷处于打开状态。

我正在使用 CLI 工具，如下所述：

~/.aws/config如下：

该命令会生成一条通用You are not authorized to perform this operation消息，并且编码的授权失败消息表明我的所有语句都不匹配，因此它拒绝该操作。

更改为"Resource": "*"显然可以解决问题，但我想进一步了解为什么上述方法不起作用。我完全意识到这涉及到一定程度的猜测工作，所以我欢迎任何想法。

我正在以编程方式添加和删除 AWS IAM 用户策略，并且我从应用这些策略中得到不一致的结果。

例如，这可能会也可能不会成功（我使用的是 Java 1.6.6 SDK）：

1. 从可以读取特定存储桶的用户开始
2. 清除用户策略（列出策略，然后为每个策略调用“deleteUserPolicy”）
3. 等到用户没有用户策略（调用“listUserPolicies”，直到它返回一个空集）
4. 尝试从存储桶中读取（这应该会失败）

如果我在 #3 和 #4 之间放置一个断点并等待几秒钟，则用户无法从存储桶中读取，这是我所期望的。如果我删除断点，用户可以从存储桶中读取，这是错误的。

（当我添加策略然后访问资源时，这也是不一致的）

我想知道策略更改何时对组件（S3、SQS 等）产生影响，而不仅仅是对 IAM 系统产生影响。有什么方法可以从中获得收据或确认吗？或者也许有一定的时间等待？

是否有关于政策应用内部的任何文档？

（仅供参考，我从https://forums.aws.amazon.com/thread.jspa?threadID=140383&tstart=0复制了我的问题）

我看到aws s3 ls和aws s3api list-buckets 的不同行为

这是第一个：

因此，我可以列出存储桶demo.for.customers中的对象

现在，当我使用s3api运行相同的东西时，我被拒绝访问：

问题：为什么我会因为通过 s3api 列出对象而被拒绝访问。

我提出这个问题的原因是如果我使用AWS S3 Ruby SDK也会遇到同样的问题。

但是，当我使用aws s3 ls时，一切都很好。

因此，AWS S3 Ruby SDK和aws s3api表现出相同的行为。所以，我在这里只粘贴aws s3api CLI问题。

顺便说一句，这是已应用于运行上述所有命令的用户的 IAM 策略：

这是产生完全相同错误的ruby代码；

输出是：

有没有办法使用 AWS IAM 策略公开 S3 文件？

我意识到 S3 具有 ACL 权限以及存储桶策略。如果这些是我唯一的选择，那么我当然愿意使用这些选项。但是，如果可能的话，我更愿意使用 IAM 策略来控制权限。

据我了解，IAM 策略会影响用户、组和角色。在这种情况下，“匿名用户”（又名一般未经身份验证的公众）似乎不是 IAM 政策制定中的一个选项。

是否有可能（或适当）使用 IAM 公开 S3 文件？