问题标签 [amazon-policy]

尝试应用由Amazon 的策略生成器生成的存储桶策略后，我收到错误“策略具有无效资源”。使用保单文档检查我的保单有效性后，一切似乎都有效。这是我抛出错误的简单策略。

很抱歉问了这么一个常见的问题，但我很难过。我会继续调查的。

我正在使用Django该django-storages库将我的模型文件上传到 S3，并且需要添加一个策略来阻止从存储桶的 URL 直接下载。

我通过设置下面的策略（检查Referer）实现了这一点，但是当我使用库的自动重命名功能时，这导致了一个问题。我目前的政策：

通过调试，我发现当库尝试执行HEAD请求以获取现有文件信息（这将表明需要重命名）时，响应是 HTTP 403 错误。我尝试包括以下Actions（来自其他来源和文档）以获得更宽松的访问权限，但同样的问题仍然存在。

添加具有唯一名称的新文件时，我没有这样的问题，只有在需要重命名时。

我想创建一个策略，限制用户在没有我的权限边界的情况下创建角色！我尝试使用 iam:AttachRolePolicy 和 Iam:putRolePermissionBoundary 但仍然无法正常工作！

我正在寻找一种将 IAM 帐户密码策略设置为仅帐户中的一组用户的方法，这可以通过 IAM 实现吗？

例如，我希望开发人员至少有 10 个字母的密码，我希望睾丸有至少 12 个字母的密码。

不能为不同的团队创建新帐户。

我有一个 S3 存储桶，其结构如下：

我想对所有操作进行全面拒绝top_level_name（以排除原本有权访问此存储桶的 IAM 策略），并有选择地允许特定用户访问他们各自的sub_levels. 最初我认为该政策可能类似于：

在执行过程中，Allow 似乎无法取代 Deny。有没有办法可以重写我的存储桶策略来实现这种模式？

是否可以创建这样的 SCP（服务控制策略）并将其附加到拒绝在此帐户内启动任何新资源（基础设施）的帐户？假设该账户是 AWS Organizations 的一部分。

问题源于以下混淆：

• SCP 可以限制启动基础设施等特定操作吗？
• SCP可以应用于帐户级别（而不是组织级别！）？

我希望制定拒绝访问所有存储桶的策略，除了以特定命名约定开头的存储桶，即如果它们以“xyz”开头。我怎样才能写一个政策来做到这一点？下面的一个有效，但它会引发各种警告：

“您选择需要存储桶资源类型的操作”或“一个或多个操作可能不支持此资源”或“您的策略中的操作不支持资源级别权限并要求您选择所有权限。

我有一个附加了 IAM 角色的 ec2 实例（比如 ec2-1 ）。此 IAM 角色具有用于启动新 ec2 实例、新安全组、列出各种安全组、从 S3 复制文件等的策略。

现在，我想使用 aws cli 或 cloudformation 模板（不是从控制台）从这个 ec2-1 实例启动另一个 ec2 实例，但还可以从 s3 复制对象。我只想将这个策略/角色从 ec2-1 复制到这个新启动的实例，以便使用 CFT 中的用户数据，我可以将对象从 s3 复制到新的 ec2 实例中。

我不想通过 ec2-1 中的完整策略传递完整的角色，例如启动 ec2、SG 等。

我怎样才能做到这一点？

我想创建一个策略以允许每个人阅读我的 S3 存储桶，这是我创建的策略（我正在遵循本指南）：

我无法创建此策略，这是我得到的错误：

此策略包含以下错误：已禁止字段 Principal 有关 IAM 策略语法的更多信息，请参阅 AWS IAM 策略

我正在尝试创建一个 IAM 策略，让用户可以完全访问 dynamodb，但需要注意的是表必须具有Stage带有值的标签Dev。基本上您可以创建一个表，但您应该在其上添加Stage带有值Dev的标签。您只能查看/更新等标签为Stage=Dev.

AWS 文档提到了一种使用Global Context Keys轻松做到这一点的方法：aws:ResourceTag

但是当我使用可视化编辑器时，我在上下文键列表中找不到键。如果我手动编辑 JSON 并添加它，我会收到警告condition key is not supported

这是我的政策：

我在这里可能做错了什么？