问题标签 [amazon-policy]

对于允许访问存储桶及其内部所有内容的策略，是否需要选中对象旁边的“任何”框（或者只是允许访问存储桶就意味着访问其内容）？

我问的原因有两个 i) 以便该策略可以访问存储桶内的对象，但也 ii) 确认选中“任何”框不会授予对指定存储桶之外的对象的访问权限（它如果这样做可能会很糟糕并且没有实现） - 我认为它可能不会，但最好确定。

我想使用 GitHub Actions 设置 CI/CD，每当提交和推送新代码时，它都会在 AWS Elastic Beanstalk 中创建一个新的应用程序版本。这是工作流程.yml：

注意：我***用来隐藏应用程序和环境名称

阶段中的构建出错Deploy new ElasticBeanstalk application version。完整的错误是

但是，我想我已经在 AWS 策略中设置了相关权限。这是 github 操作用户的政策：

同样，我将我的应用程序名称替换为appname.

我什至在策略模拟器中尝试过，并且策略按预期工作。这里可能是什么问题？

我正在尝试按照如何允许组担任角色中的说明进行操作？，但是当我尝试切换角色时遇到以下错误：

一个或多个字段中的信息无效。检查您的信息或联系您的管理员。

在这种情况下，我有三个 AWS 账户example ids

• 公司主营 -000000000001
• 公司产品 -000000000002
• 公司开发 -000000000003

主账户的组织包括 prod 和 dev 账户

我想做的是在主账户上设置一组 IAM 用户，并允许他们登录并在两个子账户中的任何一个之间切换，而不是强制每个人都有三个单独的登录。

到目前为止，这是我在CompanyMain帐户上所做的所有事情：

1. 创建用于访问 Prod 帐户的角色

   将可信实体设置为“另一个 AWS 账户”

   

   将权限策略设置为AdministratorAccess

   因此，当我转到“角色”>“信任关系”>“显示策略文档”时 - 它看起来像这样：

   名称为“company-prod-admin”，因此 ARN 如下所示：

   这还带有切换角色的链接，如下所示：

   https://signin.aws.amazon.com/switchrole?roleName=company-prod-admin&account=000000000001

2. 创建策略以承担此角色

   服务：STS 操作：AssumeRole 角色 ARN：arn:aws:iam::000000000001:role/company-prod-admin

   

   所以政策文件看起来像这样：

3. 创建管理员组

   在名为的主帐户上创建一个组admin并附加我们刚刚创建的策略

4. 创建 IAM 用户

   在主帐户上创建用户并放入admin组

以 IAM 用户身份登录

我现在可以针对主账户以 IAM 用户身份登录

从那里，我想通过使用角色链接或转到https://signin.aws.amazon.com/switchrole并输入帐户/角色信息来切换角色

但是，我收到以下信息无效的错误

组织设置问题

如何创建跨组织的角色？对于角色/权限需要在三个帐户之间起源的位置，我有点困惑，但理想情况下，我希望有一种方法可以让某人登录到整个组织的一组权限。

当我从这里输入示例代码https://docs.aws.amazon.com/de_de/translate/latest/dg/async.html

然后抛出以下错误：

调用 StartTextTranslationJob 操作时发生错误 (InvalidRequestException)：Translate 无权担任角色：arn:aws:iam::012345678901:role/service-role/AmazonTranslateInputOutputAccess。请更新角色的信任策略。

角色 AmazonTranslateInputOutputAccess 已经创建，但无论如何应该会影响抛出的错误。

我是否能够允许新创建的 IAM 用户创建任意策略但仅限于他创建的资源？例如，如果我允许用​​户创建 S3 存储桶、用户和 IAM/存储桶策略，我希望他能够为 IAM 用户创建仅限于他创建的存储桶而不是账户中存在的其他存储桶的策略。

如果我无法指定此类政策，还有其他方法可以实现吗？账户中的某种命名空间可以将该用户的资源与所有其他 IAM 用户隔离开来？

这与AWS IAM 策略有关，以允许用户创建具有特定策略/角色的 IAM 用户，我想知道自被询问以来是否发生了变化。

我刚开始在一家新公司工作，我需要在 AWS 上修改联系信息。任何尝试都会给我错误

Access Denied，您需要 ModifyAccount 来修改此页面。

我给我的用户以下政策没有运气。

我还尝试了一项政策

aws-portal:modfiyAccount

以及允许对所有资源采取所有行动的政策。是什么阻止我修改contact infoAWS 账户？

我正在尝试为组（“TheGroup”）设置策略，当附加到用户时，该策略将允许该用户创建新用户并将它们分配给另一个特定组（“TheSubGroup”）。

我相信我已经完成了大部分的 CreateUser 部分，但我不确定如何在下面的策略的第二部分中允许该用户 AddUserToGroup("TheSubGroup") 的语法。

有什么想法吗？

我有一个附加了角色的 EC2 实例。我的目标是提供对 AWS 服务（例如 Lambda）的完全访问权限，但仅限于某些资源（基于标签）。我发现这aws:RequestTag是这样做的方法。

下面是附加到该角色的 IAM 策略。

我在所需的 lambda 函数上添加了标签app:prod，但是当我尝试列出 lambda 时出现AccessDeniedException错误。下面是错误信息

调用 ListFunctions 操作时发生错误 (AccessDeniedException)：用户：arn:aws:sts::123456789:assumed-role/iam-role-name/i-01abcd456abcd 无权执行：lambda:ListFunctions on resource: *

如何制作aws:RequestTag作品？我哪里错了？

下面的类似问题：（该解决方案对我不起作用） aws:RequestTag on s3 bucket 不起作用（在担任角色时）

我有一个带有两个文件夹（文件夹 1 和文件夹 2）的 s3 存储桶，我希望所有 IAM 用户都可以访问文件夹 1，但只有管理员可以访问文件夹 2。

所以我所做的是：
对于管理员：我将他们添加到具有 s3 完全访问策略的组中。

对于其他用户：我使用以下策略将他们添加到另一个组。

这应该可以完美运行，但由于某种原因，当用户尝试访问文件夹 2 时，使用“Cyber​​ Duck”的用户获得了权限被拒绝，这是必需的，但一些使用“ExpanDrive”的用户能够访问文件夹 2。

我看不出这里有什么问题，如果有任何帮助，我将不胜感激。

我正在为 DynamoDB 创建一个策略，这将使管理员用户只能从另一个用户读取数据，但不能更改它。在 DynamoDB 表中，分区键是来自用户池的子。

所以我需要的是一个变量来表示来自用户池的子条件。

我曾尝试使用“${cognito-identity.amazonaws.com:sub}”，但此表达式返回身份用户 ID 而不是用户池子。

我也尝试过使用 ${cognito-idp.us-east-1.amazonaws.com/us-east-1_XXXXXXX:sub}，但这也不起作用。

有谁知道我可以使用其他任何变量吗？