问题标签 [amazon-policy]

有没有办法让aws中的用户创建其他iam用户并删除它们，但他不能删除其他人创建的iam用户。

以前也有人问过类似的问题，但没有人正确回答。

为了让实例访问 s3 存储桶中的特定文件夹，我在策略中得到了这个：

"Resource": "arn:aws:s3:::My_Bucket/db_backups/${aws:ResourceTag/Name}/*"

它不起作用。使用这样的标签的文档在这里：https ://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html

所以也许我想做的事情是不可能的。

但我不想为每个需要访问文件夹的实例创建一个新角色。还有其他方法可以解决这个问题吗？

能否请你帮忙。我需要在 Ruby 模板中加入一些客户管理的策略（join(':', 'arn:aws:iam', ref('AWS::AccountId'),'policy/some-managed-ec2-default-policy' ) )，但不断出现错误语法错误。尝试了不同的组合，对我没有任何帮助:(非常感谢任何帮助。谢谢。我的代码是

我的错误是：

我有一个具有 IAM 角色策略的用户账户，有权访问特定的 AWS Cloudwatch 控制面板。但是我无法访问它们。以下是政策和错误详情。如果我犯了任何错误，请纠正我。谢谢。

IAM 角色

IAM 政策

错误

请注意，我可以访问策略中配置的日志。不确定 cloudwatch 仪表板的 arn 是否存在问题。

我正在关注这个AWS 教程。在您向 IAM 角色添加权限的第 46 页上，json 代码会导致错误。错误是，Ln 10, Col 1JSON Syntax Error: Fix the JSON syntax error at index 168 line 10 column 1,逗号跟在大括号后面。删除逗号和/或大括号不起作用。

这是我拥有的json：

需要进行哪些调整来修复代码？

如何限制某些用户的访问权限，使其仅在 SES 上操作，而不是在我的 AWS 账户上的其他服务上操作？

示例：

有没有一种方法可以检查具有某些权限的 IAM 用户是否满足给定的策略集？

例子。我想检查用户是否可以触发以下策略中提到的所有操作。这也是通过一些 api 调用或使用 amazon sdk（基本上不是手动）。一种方法是尝试触发一些操作并进行检查，但我正在寻找其他方法。

我有一个第三方（Snowflake）担任我提供的 IAM 角色，他们正在通过会话策略。

根据文档，会话的权限是“......加上会话策略和基于身份的策略的交集”。

我对角色的身份政策有声明

以及他们在假设角色时添加的会话策略具有语句

如果我在担任角色时将会话策略作为可选参数传递，然后调用 api 网关，我会得到与通过 Snowflake 看到的相同的错误，is not authorized to perform: execute-api:Invoke on resource. 如果我在担任角色时没有通过策略，然后调用api网关，它就成功了。

这与身份策略是否具有通配符或会话策略中使用的确切 URL 无关。

如何使用角色的身份策略允许此访问？