问题标签 [aws-access-policy]

我正在尝试使用AWS Web UI从 Cloudflare导入证书，但我被困在此页面中：

我读到 Cloudflare 中的等价物Certificate Chain是 Origin Certificates（对此不是 100% 确定），所以我创建了一个并选择了RSA certificate，当我尝试在 AWS 中完成导入时，它说：

有谁知道有什么问题？

谢谢

编辑：

我尝试了根 CA，它也不起作用：

这是来自 AWS 的“解决方案”：

“无法使用证书链验证证书。”

如果 ACM 无法将证书与提供的证书链匹配，请验证证书链是否与您的证书相关联。您可能需要联系您的证书提供商以获得进一步的帮助。

我有一个具有 lambda 触发器的 DynamoDB 流。我还配置了一个带有 lambda 的 DLQ，如果 lambda 发生故障，这些流消息会在哪里发生。

目前，SQS 队列（LambdaFailure-DLQ）的访问策略如下。但是，我只想为 lambda 提供最小权限，以将相关操作推送到 DLQ 中。

我不想使用 * 作为主体，因为这会导致违反政策。我怎样才能修改它只允许这个队列的 lambda（比如说 X）权限。

PS：lambda 触发器、DynamoDB 流和 SQS 队列都是从同一个帐户创建的。

我有一个附加到 SQS (Y) 的 SNS 订阅 (X)，目前访问策略有以下声明：

我想停止使用 * 原则，因为它会导致违反政策。我还想使用最小权限策略，仍然让订阅 X 推入队列 Y。我怎样才能做到这一点？当已经存在条件时，我不明白这里使用的主体。

PS：订阅、主题和队列都与同一个 AWS account-id 关联。

我已经多次阅读AWS SNS/SQS 订阅说明，并浏览了几个不同的博客和 StackOverflow 帖子，尝试了各种不同的事情。但是，无论我尝试向 SNS 发布消息并从 SQS 轮询/接收消息多少次，它都不会从另一端弹出。我希望我错过了一些非常明显的东西，一个比我有更多经验/更新鲜的眼睛的人。

对于某些背景，我在同一个帐户中创建了 SQS 和 SNS。在为它们设置访问策略后，我最后创建订阅。我确保当我创建订阅时，我会看到一个绿色的小复选标记，表示订阅已被确认。没什么花哨的，没有 FIFO 队列，我将可见性超时设置为 1 分钟，并且队列的接收消息等待时间也相对较低。我的帐户中只有一个 SQS 和一个 SNS，所以我不会搞砸订阅或授予对错误的访问权限。

对于我的 SQS 访问策略，它看起来像这样：

我的 SNS 访问策略如下：

我确保复制和粘贴arn资源以限制拼写错误。我已经尝试过其他东西，但所有这些都没有奏效。这对我来说应该有效，但没有。

我正在尝试使用我的存储桶策略限制用户访问我的存储桶。我有一组用户，他们都有一个 S3FullAccess 策略。我无法更改 IAM 中的任何内容。我只能访问我的存储桶策略。所以我想使用存储桶策略来控制用户的访问。我将用户分为 3 类。

1. 对我的存储桶的管理员访问权限（对我的存储桶的所有访问权限）
2. 对我的存储桶具有有限访问权限的用户（例如 get-bucket-policy、get-bucket-location）
3. 无法访问我的存储桶。（无法访问我的存储桶）

以下策略是我尝试过的策略，但它不起作用。

我尝试了上述策略，但只有管理员用户才能访问存储桶。访问受限的用户无法执行他们授予的操作，例如 get-bucket-policy、get-bucket-location。他们正在收到拒绝访问异常。帮我解决这个问题。

我正在尝试为特定用户组授予管理员权限并为同一组强制执行 MFA。不过，应该只对控制台用户强制执行 MFA，而不是在使用 AWS CLI 时强制执行。

这些是我一直在测试的策略：

策略 1 - 如果 MFA 授予管理员访问权限

策略 2 - 仍然允许用户设置 MFA，以防它尚未激活

最后一项政策是从这一政策改编而来的。

aws:MultiFactorAuthPresent的官方文档说，据我了解，“Allow”、“BoolIfExists”和“true”的组合应该可以很好地满足我的目的：

如果密钥存在且存在，或者密钥不存在，则此条件匹配。Allow、BoolIfExists 和 true 的这种组合允许使用 MFA 进行身份验证的请求或无法使用 MFA 进行身份验证的请求。这意味着当请求者使用其长期访问密钥时，允许执行 AWS CLI、AWS API 和 AWS 开发工具包操作。此组合不允许来自可以但不包括 MFA 的临时凭证的请求。

如果您想知道为什么我不使用任何包含“拒绝”效果的（看似简单的）策略，例如：

...原因是：

Deny、BoolIfExists 和 false 的组合拒绝未使用 MFA 进行身份验证的请求。具体来说，它拒绝来自不包括 MFA 的临时凭证的请求。它还拒绝使用长期凭证发出的请求，例如使用访问密钥进行的 AWS CLI 或 AWS API 操作。*IfExists 运算符检查是否存在 aws:MultiFactorAuthPresent 键以及它是否存在，如其存在所示。当您想要拒绝任何未使用 MFA 进行身份验证的请求时，请使用此选项。这更安全，但可能会破坏使用访问密钥访问 AWS CLI 或 AWS API 的任何代码或脚本。

一切都按预期工作，除了我尝试使用 AWS CLI（使用访问密钥）访问资源时。我是否遗漏了什么或者文档是否具有误导性？

PS：我想避免为控制台和 CLI 用户设置单独的用户组。

当我重新连接到互联网时，我的 IP 地址发生了变化，所以当我从 Elastic Search 访问 Kibana 时，我收到一条错误消息User: anonymous is not authorized to perform: es:ESHttp

这是我的访问策略

每当我访问 kibana 时，我都必须使用我当前的 IP 地址修改此访问策略。如果我做类似的事情

或者完全只是“*”，它给了我同样的错误“匿名用户未被授权”。我怎样才能解决这个问题？我总是通过同一个 root 帐户登录。

我们正在使用 Python AWS SDK ( boto3) 连接到 S3。

我们有一个静态访问和秘密令牌，但是我的网络并不安全。

我不能使用另一个网络发送请求，所以有没有办法在每次请求后更改访问密钥和密钥？

我可以将新令牌保存在安全数据库中以发送另一个请求，但重要的是使用令牌后它会过期。

我在找什么：

我有一个媒体转换作业，它将从 s3 存储桶获取输入视频，然后对其进行转换并将其存储在同一帐户中的另一个存储桶中。

但是，当为 s3 存储桶启用“阻止此帐户的公共访问设置”时，我会得到1401 Unable to write to output file: [Failed to write data: Access Denied].

媒体转换和 S3 在同一个 AWS 账户上。

当我禁用公共访问的阻止时，它起作用了。但是，我希望有这个安全层

我在尝试安装 awsaccess 时收到上面的错误报告，有谁知道为什么会发生这种情况以及我应该如何解决它？