问题标签 [aws-access-policy]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
amazon-web-services - 向 AWS Elasticsearch Service 添加多域访问策略(静态 IP 和 Lambda ARN)
设置 AWS Elasticsearch 后,我在静态 IP 服务器上安装了 Logstash 和 Kibana 代理,并在 ES 上添加了这个域访问策略,它工作正常:
现在我需要允许 Lambda 函数es:ESHttpDelete在 AWS ES 上执行操作,因此我使用现有角色创建了该函数,然后从 IAM 管理控制台service-role/Elasticsearch复制了相关事件以将其添加到 AWS ES 访问策略中,从而得出以下结论:ARN
问题出在 ES 上,我应该为静态 IP 或 ARN 选择域访问策略,但不能同时选择两者。当我尝试手动合并它们而不是使用控制台时它不起作用。我检查了 AWS 文档,但他们没有提到这是否可能。
php - 带有签名 URL 的 CloudFront“MalformedPolicy”错误
我需要使用 PHP 创建带有自定义策略的签名 CloudFront URL,但无论我做什么,显然我的策略都是“格式错误的”。这是函数中生成的示例策略:
生成的网址:
代码:
chef-infra - 在不使用 aws 秘密访问密钥和 aws 访问密钥 ID 的情况下部署 ec2 实例
我的工作站和服务器都是RHEL ec2 实例,每当我运行命令时:-
刀 ec2 服务器创建 -r “角色[----------]” -I ami-XXXXXXXX -f t2.small -S 刀 -i ~/.ssh/XXXXXXXXXXXX.ppk –ssh-user ec2-用户 –region us-east-1 -Z us-east-1a
我收到错误错误:您没有提供有效的“AWS 访问密钥 ID”值。错误:您没有提供有效的“AWS 秘密访问密钥”值。
我也不想使用秘密访问密钥和访问密钥 ID,也不想将它们保存在工作站上。有没有其他方法可以部署新的 ec2 实例(节点),也许使用 IAM 角色。谢谢你
amazon-web-services - AWS 跨账户 SNS 发布
我们有两个账户 111111111111 和 222222222222。
要求 - 账户 111111111111 将每天创建 RDS 的快照。拍摄快照后,我们希望账户 111111111111 发布到在账户 222222222222 中创建的 SNS 主题。一旦账户 222222222222 收到通知,它就会运行 Lambda 函数。
我已将以下策略附加到帐户 222222222222 中创建的主题
当帐户 111111111111 尝试发布到 222222222222 时,我收到以下错误
*"message": "AuthorizationError: User: arn:aws:sts::************assumed-role/tf-rds_eventhandler/tf-rds_eventhandler 无权执行:SNS:Publish on资源:arn:aws:sns:us-east-1:xxxxxxxxxxxx:RestoreRDSEng\n\t 状态代码:403,请求 ID:098f4647-c9ad-51fe-9bc3-17b45deef60e"*
问题:
这种方法有什么问题吗?
我是否应该在账户 222222222222 中创建一个角色,并具有对 111111111111 的可信访问权限?
任何其他建议将不胜感激。
amazon-web-services - AWS sqs 限制为具有 iam 角色的 ec2
我有一个 SQS,我想限制对允许发送/接收的服务的访问。
在阅读和尝试之后,我发现这应该可以通过在 SQS 上使用访问策略来实现。
我写的政策:
我附在 SQS 上的这项政策。
这两个角色添加到我用于测试的两个不同的 EC2 实例中。现在两者仍然能够发送和接收消息。我想不通为什么?
我的政策错了吗?还是我误解了文档?
澄清:我需要一个允许一个实例/安全组/iam-role 发送消息和一个实例/sg/iam-role 接收的策略。
amazon-web-services - 将自定义注释或元数据添加到 AWS 访问策略
我目前有一个 Elasticsearch 域的访问策略,如下所示:
记住每个白名单 IP 的用途是很痛苦的,如果我可以用 IP 描述注释策略,维护 IP 列表会容易得多。我想像下面这样:
如何将注释或元数据添加到我的访问策略?
javascript - 如何从 javascript 中的 AWS 访问被拒绝异常中获取对象和操作?
任何 aws 服务都可以抛出 AcceeDenied 异常。像这样记录的:
云观察日志显示:
首先,堆栈跟踪在哪里?:)
其次,有没有办法确定请求了哪些资源和操作?(有几个链接的承诺,目前还不清楚什么是错的)
amazon-web-services - 仅允许从用户的 Cognito `sub` 上传到子文件夹的 S3 策略
目标:
- 将上传限制到特定的子目录集,这有助于后端识别上传的原因:
/avatar/...,/cover/... - 有办法识别上传的认知用户
- 防止其他用户覆盖该用户子文件夹中的内容
考虑到这一点,我无法弄清楚如何限制用户仅上传到名称源自用户的认知sub标识符的子文件夹的能力。或者我可以从中识别并从认知池中获取用户的任何其他字符串。
例子:avatar/${aws:cognito-sub}/filename
我aws:userid在文档中找到,但它指的是:
角色 ID:呼叫者指定的角色名称
其中角色 id 是角色的唯一 id,调用者指定角色名称由传递给 AssumeRoleWithWebIdentity 请求的 RoleSessionName 参数指定。
更多上下文:上传在 lambda 中处理。Lambda 转换图像,但随后需要将转换保存在不同的 s3 中并将它们引用给 dynamodb 中的用户。
amazon-web-services - 将非公共 S3 存储桶设置为将新上传的密钥默认为 bucket-owner-full-control
是否可以将所有新上传的密钥默认到特定存储桶以具有bucket-owner-full-controlacl 权限?
在文档中找不到这个。