我使用我的 terraform 脚本创建了这个权限（我相信它称为基于资源的策略）。如何使用 AWS 控制台查看创建策略？

Question

What is the .amazonaws.com such as elastictranscoder.amazonaws.com?

According to Roles Terms and Concepts, it should be either IAM user or a role. I wonder which one it is.

Principal
An entity in AWS that can perform actions and access resources. A principal can be an AWS account root user, an IAM user, or a role.

Trust policy
A document in JSON format in which you define who is allowed to assume the role. This trusted entity is included in the policy as the principal element in the document.

我是 AWS 的新手，我的第一个项目。

我试图按照教程使用 CodeCommit 使用 Elastic Beanstalk 部署我的 Django 应用程序。尝试连接到 repo 时出现错误。搜索该错误后，我得出结论，我可能需要为我的用户启用 AWSElasticBeanstalkFullAccess 策略。但是，在此之前，我“分离”了我附加到我的帐户的第一个（我认为是唯一的）政策。我认为它是“AdministratorAccess”或类似的东西（大型策略列表中的第一个选项）。我只是想让我的用户适应所需的任务，我解释说拥有管理员权限是不安全的。后来我读到我应该创建一个没有 root 权限的新用户，并每天与这个新用户一起工作。我保证下次我会这样做。

所以我现在被锁定了。我只有一个用户完全没有做任何事情的特权。我什至无法购买开发支持（29 美元/月）来解决这种情况……我不知道该怎么办。我可以忘记那个帐户并开设一个新帐户，但我认为我必须做点什么。

我尝试搜索了将近 2 个小时，但找不到任何适合我的东西。我再说一遍，我在 AWS 上完全是新手，可能我在搜索过程中没有使用正确的词。

任何帮助将不胜感激。提前致谢。

我的 AWS 亚马逊账户中有几个 EC2 实例。我有一个希望外包商使用的特定 EC2 实例（停止、启动、管理安全组、调整磁盘空间大小等）。

我尝试使用 IAM 策略执行此操作，但据我所见，DescribeInstances 允许用户查看我账户中的所有实例。当我尝试编辑特定资源的策略时，它会显示错误，因为它 DescribeInstances 不是资源级策略，因此它必须具有资源“*”。

我在想也许允许他访问不同的区域，并将实例放在那里。另一种选择是使用组织（有点复杂，但看起来很有希望，如果这是要走的路会很高兴了解）。

我错过了什么吗？实现我需要的最佳解决方案是什么？

我是 AWS 和 IAM 的新手，并试图了解角色和信任关系。

我完全理解为什么要使用角色、如何创建角色以及它们的用例。

我没有得到的是信任关系步骤。在我见过的几乎所有情况下，它都是一对一的关系。EC2 需要对 EC2 的信任。为什么会有额外的步骤？

如果我创建一个 EC2 实例和一个具有 S3 权限的角色，为什么这还不够？

当 MSSQL 是 Windows 域的一部分并且只允许 Windows 身份验证时，是否可以从 AWS Lambda 调用 MSSQL？例如，有什么方法可以在 AD 用户下运行 Lambda 函数？还是使用 AD 连接器将 AD 用户与 IAM 账户关联并在该账户下运行 Lambda？

设置 我正在完成“使用 Amazon Cognito 的 Saas 身份和隔离”部署指南和随附的源代码。

在部署、测试和阅读所有内容之后，我能够弄清楚

• 如何使用每个租户的 Cognito 用户/用户池
• 如何为每个租户创建角色
• 如何创建基于租户的策略
• 如何为每个租户创建身份池

主要问题 这一切是如何联系在一起的？具体来说，租户用户池中的用户如何与身份池中的策略相关联？似乎有人在“获取访问令牌（使用 IAM 策略）”周围挥舞着。这是如何运作的？自定义授权人如何适应？

更多信息 我认为它与token-manager.js:346有关

我看到getCredentialsForIdentity被记录为采用 CustomRoleArn，如下所示。上面的代码已将其注释掉，但代码仍然有效。

自定义授权器 custom-authorizer/index.js中我能找到的与权限/策略相关 的唯一代码是：

< Gasp > 这段代码看起来我们正在绕过所有策略。这个应用程序是否有可能伪造它并且只在 Angular 中处理路由？可能不是。

附加问题 我已经能够通过AWS PowerShell提取我需要知道的几乎所有内容。我不知道如何检索的一件事是用户池身份提供程序。Get-CGIPIdentityProvider cmdlet 需要“ProviderName” 。这是什么？“认知”？“www.amazon.com”？一些标识符？

如果您只是滚动到底部，请重复主要问题。这一切是如何联系在一起的？具体来说，租户用户池中的用户如何与身份池中的策略相关联？似乎有人在“获取访问令牌（使用 IAM 策略）”周围挥舞着。这是如何运作的？自定义授权人如何适应？

在 AWS 中，我构建了一个调用 Lambda 函数的 API 网关。用户通过登录到与 Cognito 联合身份池关联的 Cognito 用户池获得访问权限，并且关联的 IAM 角色包含 API 调用权限。API Gateway 方法是一个 POST 请求。

如果我使用用户池作为 API 网关的授权方，我可以通过我的 javascript Web 应用程序中的 ajax 请求成功触发 Lambda 函数 - 但请注意，这会授予池中的每个用户相同的访问权限。我正在尝试为不同的方法创建不同的基于 Cognito 用户组的访问，并且因为在使用 Cognito 用户池作为授权方时我显然无法为每种方法指定不同的用户组，所以我现在正在查看是否可以使用 AWS_IAM 作为保护 API API 授权者。但是，如果我选择 AWS_IAM 作为授权人，我会返回：

请求的资源上不存在“Access-Control-Allow-Origin”标头。因此，Origin 'null' 不允许访问。响应具有 HTTP 状态代码 403。

可能是什么问题？如何为这种情况正确设置 CORS，我的 ajax 请求在客户端 javascript 中应该是什么样子？cognito 会为我签名还是我需要对标题做些什么？

当我使用 Cognito 用户池时，我有：

这在这种情况下有效，在使用 AWS_IAM 作为 API Gateway 的授权时是否需要更改它？

有什么方法可以让 AWS 权限附加到策略中。目前，我正在通过 boto3“list_policies”获取附加策略列表。我的目标是获得每个策略附加的权限。

我陷入了尝试使用 IAM 角色在 S3 存储桶上为 SQS 配置事件通知的情况。

它适用于 aws_access_key_id 和 aws_secret_key_id，但不适用于角色 ARN。

作品：

但是出于安全原因，我们正在尝试使用 IAM 角色而不是 ID 来实现相同的结果，但我找不到任何可行的方法。尝试使用'sts'，仍然没有运气。出现错误 - “无权执行：sts:AssumeRole on resource:”

不工作：

还尝试在初始化客户端时为运行此 lambda 的角色提供完全 s3 访问权限，而无需提供访问/密钥或角色。但它抱怨拒绝访问。

有人可以帮忙吗？