问题标签 [amazon-policy]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
amazon-s3 - 指定资源时 S3 策略不起作用
我有一个 Rails 应用程序设置为将文件上传到 S3 我有一个 IAM 用户,该用户附加了一个内联策略。
当我使用以下策略时,一切正常:
现在,当我尝试指定存储桶的 ARN 时,我的应用程序中出现拒绝访问错误。
ARN 是直接从我的存储桶中复制的。不知道为什么第二个政策不起作用。它应该根据我读过的所有内容。
amazon-web-services - 在不将 ip 列入白名单的情况下限制对 S3 托管网站的访问
我们有一个托管在 AWS S3 上的网站,我们打算仅由有限的一群人访问。现在,我们将允许的 IP 列入白名单,如限制访问托管在 S3 上的网站中所述。
但是,一些必须访问该网站的人没有静态 ip,这迫使我们不断更新 AWS 策略中的白名单 ip。
我很确定客户端证书之类的东西应该可以工作,但我不知道如何根据 AIM 策略来实现它。任何其他(更简单)不依赖于静态 IP 的替代方案?我猜在这种情况下向 AWS 添加 ssh 密钥不会有任何好处,对吧?
amazon-web-services - s3 存储桶策略访问被拒绝
我正在尝试从 s3 上传一个对象aws-sdk-js,但无法为我的案例制定策略。我想只允许一个用户拥有上传权限和公共读取权限。
这是我的 s3 存储桶策略
我的 IAM 政策是:
有人可以指出我在这里做错了什么吗?
amazon-web-services - AWS IAM 适用政策和附加实体
在问了这个问题之后,我做了一些挖掘,发现了一些政策:
在他们中。
再次通读政策评估逻辑页面,第二步对我来说很重要:
- 评估所有适用的政策。
我的问题的第一部分是:AWS 如何确定适用哪些政策? 据我了解,这是通过查看Principle和/或Resource键来完成的。
但是:在 IAM 中,这些政策附加了我理解的与原则相同的实体。这就涉及到问题的第二部分:
附加实体对策略做了什么?
据我了解,这只是告诉 AWS 该策略适用于某个角色,但我不明白这如何与"Resource":"*"策略中的 a 一起使用。
所以:
- AWS 如何确定适用的政策?
- 附加实体对策略做了什么?
- 使
"Resource":"*"政策始终适用?
amazon-web-services - 配置 AWS Lambda 以访问 S3 存储桶
我只是无法弄清楚我在 AWS 中的存储桶策略有什么问题。试图让 Lambda 函数访问和读取来自 S3 存储桶的电子邮件。但我不断收到“拒绝访问”
请注意,我注意到电子邮件文件正在存储桶中创建。这是我最新版本的Bucket Policy:
我也尝试过“Principal”:{“Service”:“ses.amazonaws.com”},唉
我不断收到拒绝访问:
这是我的Lambda 函数:
经过很长时间和许多版本的存储桶策略,我正在考虑尝试另一种解决方案并放弃 AWS。
有任何想法吗 ?
amazon-web-services - Amazon cognito + S3 策略 - 不工作的身份子变量
我正在使用 Amazon cognito 和 S3。我想实现每个用户在 S3 中都有“自己的”目录(教程示例)。所以我设置了以下政策(按照这个例子https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_s3_cognito-bucket.html):
问题是我被拒绝访问列表和上传。
但是当我像这样更新第二条规则时:
我可以上传文件。
我如何做列表和上传?
非常感谢 !
amazon-web-services - 如何仅列出用户可访问的 S3 存储桶对象,而不是明确要求某些“前缀”?
这就是我们制作 S3 Bucket 对象列表请求的方式。
假设我们已将内联策略附加到请求资源的用户,
此策略的效果是,它允许用户列出所有根级别对象,包括授予用户权限的资源。
结果是:
我只想让php_serialize.rb, 列出。如果请求用户不知道前缀,他被授予权限。
按照请求,在这种情况下将不起作用。
amazon-web-services - 限制 AWS ElasticSearch 对 Auto Scaling 组的访问
我有一个必须有权访问 AWS ElasticSearch 服务的 AutoScaling 组,但是如您所知,在这种情况下使用 IP 地址作为访问策略将不起作用(IP 每次都会更改)。我想知道是否有办法使用 IAM 角色或安全组来限制对 Auto Scaling 组的访问。如果有你能给我一个例子吗?
先感谢您
amazon-web-services - S3 存储桶策略限制为 IP CIDR 范围
我试图限制对几个不同子网中的 EC2 实例的 S3 存储桶访问:
我知道关于这项政策的特殊性还有其他问题,但除了条件之外,我已尝试使其尽可能简单。不幸的是,尝试aws s3 ls s3://test.bucket从 IP 地址为 的 ec2 实例执行简单操作192.168.129.100失败并拒绝访问。这项政策有效地将我拒之门外。
我不知道我错过了什么。我什至尝试在and条件之前添加ForAnyValue和。ForAllValuesIpAddressNotIpAddress
amazon-web-services - aws 云端权限
我正在尝试允许我定义的组具有失效权限
我在组上定义了一个看起来像这样的策略
最终我想将资源锁定到特定的 Cloudfront arns。但即使在这一点上它也不起作用。当我使用 aws cli 工具时,我得到
An error occurred (AccessDenied) when calling the CreateInvalidation operation: User: arn:aws:iam::5555555555:user/username is not authorized to perform: cloudfront:CreateInvalidation
我究竟做错了什么?