问题标签 [aws-iam]

最初在https://forums.aws.amazon.com/thread.jspa?messageID=825006#825006上询问

我正在尝试将某些操作限制在特定来源。例如，EC2 和 Cloudformation 应该只能从某个源 IP 地址访问。我可以通过以下策略实现这一目标：

这很好用（假设在没有条件的情况下允许用户使用 ec2 和 cloudformation），因为我现在可以从源 IP 创建/查看 EC2 实例，1.2.3.4但从其他来源尝试时会出错。

但是，如果我尝试创建包含 EC2 实例的 Cloudformation 堆栈，则 RunInstance 操作会继承我的用户帐户，而不是我的源 IP。我想更新条件以允许将 Cloudformation 源排除在Deny. 我试过这个：

我还尝试Allow了关于这些操作的 2 个语句，每个语句只有 1 个条件 - IpAddresssourceIp 和第 2 个 allow 语句与"StringEquals" : {"aws:SourceIp":"cloudformation.amazonaws.com"}这些操作有关。当 CloudFormation 尝试执行 RunInstances 操作时，我仍然收到错误消息。

这是显示失败的 CloudTrail 事件：

我已尝试在aws:SourceIp, aws:SourceIpAddress, aws:UserAgent- 上进行字符串匹配，如何允许 ec2 操作进行 cloudformation？

谢谢。

我想将 SQL Server RDS 备份/恢复到 S3 存储桶。RDS 和 S3 都在不同的帐户中。如何实施。我用来备份/恢复的查询是：

备份：

恢复

我目前正在尝试自动化 AWS 帐户预置，其中一个步骤是使用身份提供者（用于联合用户访问）创建 IAM ROLE。我搜索并检查了 Terraform 文档，但找不到有关创建此类角色或将提供者附加到角色的任何信息。我可以很好地创建两者，但它们是独立的。这是代码的一部分：

我正在使用AWS IoT JavaScript SDK作为部署在 AWS Elastic Beanstalk 上的应用程序的一部分。尝试初始化客户端时，出现以下错误：Failed to read credentials from /tmp/.aws/credentials

这是有道理的，因为我的 Elastic Beanstalk 环境通过其 IAM 角色而不是通过凭证文件来访问 AWS 服务。因此，当我的环境使用 IAM 角色而不是文件时，如何初始化客户端？

这是我正在使用的代码：

我正在使用需要临时 AWS 凭证才能访问 AWS 服务的第三方开发工具包。我将此 SDK 用作在 EC2 上运行的应用程序的一部分。我的应用程序中的所有 SDK 都需要访问同一个角色，该角色附加到我的 EC2 实例。下面，我列出了我找到的两个用于获取临时凭证的选项。这些选项中的哪一个是为我的第三方 SDK 获取临时凭证的推荐方式？

AWS.config

安全令牌服务 (STS)

我正在尝试使用 iOS Swift 访问 Lambda 函数，这是我设置的 AWS 角色

1. 角色名称：ALLOW_LAMBDA_EXECUTE
   • 通过策略访问 AWS Lambda 完全访问、AWS Lambda 执行、AmazonCognitoDeveloperAuthenticatedIdentities
   • 信任关系：允许服务：lambda.amazonaws.com 并且条件具有“未经身份验证”的 Cognito 身份
2. Cognito 身份池：在未经身份验证的角色下具有角色 ALLOW_LAMBDA_EXECUTE
3. 未经身份验证的身份：已选中启用对未经身份验证的身份的访问
4. 在 Lambda 中，对于函数 GetProcess()，具有 ExecutionRole：ALLOW_LAMBDA_EXECUTION

有了所有这些，当我使用我的 iPhone 应用程序（使用模拟器）执行相同的操作时，我得到了这个错误。

我在这里错过了什么吗？

我们正在研究一个要求，我们希望在 AWS EC2 实例上运行的 terraform apply 使用 IAM 角色，而不是使用凭证（accesskey/secretkey）作为 aws 提供者的一部分在 AWS 中创建 route53。注意：添加到实例的 IAM 角色已提供给角色 route53fullaccess 的策略。当我们在 terraform.tf 中使用以下语法时，它可以正常工作。我们能够创建路线。句法：

但是，我们希望 terraform 脚本使用 IAM 角色而不是凭证运行。（不想维护凭证文件） 尝试的步骤： 1. 从 terraform.tf 文件中删除提供程序块并运行构建。语法：资源“aws_route53_record {} 2.出现以下错误。Provider.aws :InvalidClientTokenid。3.通过 terraform 官方文档使用 IAM 角色。它说要使用元数据 api。但没有工作示例。（https： //www.terraform.io/docs/providers/aws/index.html ) 我是 Terraforms 的新手，所以如果这是一个基本问题，请原谅我。有人可以通过代码/工作示例来帮助实现这一目标吗？

嗨，我有一个 IAM 策略，其中包含以下代码段，声明如下：-

在这种情况下会发生什么情况，其中有受限表/样本表和 wildchar ？

我无法在文档中得到答案。

我们有一个与客户共享的包。在包中，我们有一段代码可以对我们的中央 API 网关进行 HTTP 请求调用。到目前为止，我们的 API 网关是开放的，并且接受来自任何地方的请求，这并不好。我想限制对将使用我们软件的用户的访问。我发现的唯一解决方案是使用 IAM 并提供需要我们在包中包含访问密钥的授权。我们的用户可以在他们想要的任何环境中安装我们的包，我们无法控制该环境。所以我认为一个可行的选择是创建一个通用的用户策略，以最小的访问权限允许我们的用户调用我们的 API 网关。但是，将访问密钥放在代码中似乎不是一个好主意。另一种选择是为我们的客户提供访问密钥，但这也有开销。

我正在寻找申请AWS Educate。我知道它提供了有限的服务子集，但我找不到列出该子集的任何地方。

AWS Educate 计划支持哪些 AWS 服务？具体来说，是否支持 Lex、AIM 和 Lambda？