问题标签 [aws-iam]

对于不同的 AWS 服务，我需要不同的 IAM 用户来保护访问控制。有时，我什至需要在 EC2 实例的单个项目中使用不同的 IAM 用户凭证。管理此问题的正确方法是什么，以及如何将这些 IAM 用户凭证部署/附加到单个 EC2 实例？

我有一个 Lambda 函数，它成功地在另一个账户中担任角色以从其 API 下载 WAF 命中。

我还需要从执行 Lambda 的帐户中获取 SSM 参数。当然，我可以先做这一步，然后再承担这个角色。

但我想知道是否有办法恢复 Lambda 本身的执行角色。以防将来可能发生一些链接？

我需要创建一个 IAM 策略，并且该策略将附加到用户。我想要的是，具有此策略的用户能够创建新的 IAM 角色和自定义策略，但我不希望用户使用 iam:* 或管理策略等操作创建任何自定义策略。例如：

我的保单包含声明

上面的语句限制用户对角色附加 IAMFullAccess 权限，但用户能够创建自定义策略并提供如下 json 以允许访问所有 iam 服务

甚至更糟的是，他可以制定政策，例如

可以访问所有内容。我如何限制他们创建此类策略。对我来说，重要的是他们确实拥有 iam:CreatePolicy 权限，但他们不应该能够创建上述策略。

我得到的设置：

• AWS 账户 A
• AWS 账户 B
• AWS EC2 实例 C 在账户 A 中运行
• 在账户 B 中运行的 AWS EC2 实例 D
• 账户 B 有一个描述实例的策略，并且该策略受账户 A 的信任。
• 账户 A 具有账户 B 的描述实例策略的角色，以及允许其描述自己的实例的策略。
• EC2 实例 C（在账户 A 上）在此角色下运行，允许访问描述两个账户中的实例。

当我aws ec2 describe-instances在实例 C 上运行时，只返回实例 C，而不是 C 和 D。我所做的一些阅读表明我可以在实例 C 上明确承担账户 B 的角色，但我只会得到账户 B实例，而不是帐户 A。是否可以让单个调用返回两组实例？

我正在通过 API 发出自动恢复警报，我想通过调用 python 脚本使我的代码在任何系统中工作。但由于每个人都有唯一的 AWS 账户 ID 和区域也可以不同，所以我想动态获取账户 ID 和区域。get-caller-identity 用于帐户 ID。但我基本上不知道如何使用这个功能！

嗨，我目前正在 AWS 中使用 IAM 服务，我需要帮助，这是我的问题。我需要创建两个用户 user1 和 user2 。我的帮助是，当我以 user1 身份登录并创建一个实例时，当他登录到同一个帐户时，它不应该对 user2 可见。是否有可能限制 IAM 用户的访问？

我们如何限制 IAM 用户仅通过 Cloudformation 启动 EC2 实例和 VPC。我不希望用户直接通过控制台启动 EC2 实例和 VPC。

我使用 root 帐户创建了多个服务角色和 CF 堆栈，我将创建一个 IAM 用户，我不想列出所有这些角色和 CF 堆栈。我只想展示一些特定的角色和 CF Stacks。你能告诉我我该怎么做吗？如果您共享示例策略，那就太好了。

当我已经将策略附加到对 lambda 具有完全访问权限的用户时，为什么 serverless 需要 iam:CreateRole 权限来创建 LambdaExecution 权限？

因此，我通过 AWS IAM 服务创建了一个角色。最初，它只有 AWS 托管策略AWSAppSyncPushToCloudWatchLogs。

现在我想让这个角色能够执行 Lambda 函数，仅此而已（你知道，一个好的安全结构不应该允许更多需要的东西）。

为此，我应该将哪个 AWS 托管策略附加到 IAM 角色？

PS：如果此信息至关重要，AWS AppSync 将使用该角色。