问题标签 [aws-permissions]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
131 浏览

amazon-web-services - 查看 Fargate 容器日志需要哪些权限

我们正在使用 AWS ECS Fargate 来托管我们的应用程序。我有这个“读者”IAM 用户,他不能改变任何东西,只能看到东西。

我已经设法为这个 Reader 用户配置了权限,这样用户就可以看到服务集群、其中的服务以及这些服务中的任务。但是这个用户看不到这些任务的日志。事实上,用户甚至看不到下面截图中的“日志”选项卡:

在此处输入图像描述

有趣的是:用户已经拥有 Cloudwatch 日志的权限,因此如果通过 Cloudwatch LogGroups 页面访问,则可以看到这些任务日志,而不是通过 ECS 任务详细信息页面。

我需要设置哪些权限才能让用户查看任务日志?

0 投票
2 回答
136 浏览

amazon-web-services - 如何在 AWS 中启用 IAM 的计费权限?

我已经为 IAM 角色分配了计费权限和完全管理员权限,但我的 IAM 用户仍然获得权限问题。我该如何解决这个问题?

0 投票
0 回答
293 浏览

amazon-web-services - AWS DocumentDB-如何限制仅从一个微服务访问集合?

我是 AWS 的新手。我的要求是为 AWS DocumentDB 的读写添加字段级、文档级和集合级权限。一个集合只能从一个微服务访问,并且文档只能由文档所有者修改(即,用户文档只能由该用户修改)

我已经做了足够的研究并发现,如果我们只想允许一个租户,可以使用基于角色的访问控制来添加访问数据库的限制,但没有清楚地了解我的问题陈述,即管理集合级、文档级和字段级权限

有没有其他方法可以实现这一目标..?

任何帮助将不胜感激

0 投票
1 回答
237 浏览

amazon-web-services - 使用批处理作业时,“调用 ListObjectsV2 操作时发生错误 (AccessDenied):访问被拒绝”

  • 我有一个带有“ecsInstanceRole”的计算环境。它包含策略“AmazonS3FullAccess”和“AmazonEC2ContainerServiceforEC2Role”
  • 由于我使用的是 AmazonS3FullAccess 策略,因此我假设批处理作业有权列出、复制、放置等。-我使用的图像是一个自定义 docker 图像,它有一个使用“aws s3 ls <S3_bucket_URL>”的启动脚本
  • 当我在 EC2 实例上启动此映像时,它运行良好并列出了存储桶的内容
  • 当我执行与批处理作业相同的操作时,我收到上面看到的访问被拒绝错误。

我不明白这是怎么回事。

到目前为止我尝试过的事情:

  • 将存储桶策略设置为

.

  • 授予对存储桶的公共访问权限
0 投票
1 回答
33 浏览

amazon-web-services - 无法在 AWS 上编辑权限 JSON,尽管它告诉我我可以

我希望为我的用户设置 AWS 权限的时间限制。

但我无法编辑策略 JSON 文件,尽管它说我可以:

在此处输入图像描述

注意线You can still view or edit the JSON policy document.

但后来它说只读。有没有办法下载 JSON,编辑它,然后上传它?

还是有其他方法可以对用户权限设置时间限制?

0 投票
1 回答
104 浏览

amazon-web-services - sagemaker 上的 AccessDeniedException:AWS SageMaker Studio 中的 CreateDomain,尽管有 SageMakerFullAccess

我正在尝试使用 AWS SageMaker Studio > 入门 > 快速入门,作为AmazonSageMakerFullAccess附加策略的 IAM 用户,但我收到以下错误:

User: arn:aws:iam::<user-id>:user/<username> is not authorized to perform: sagemaker:CreateDomain on resource: arn:aws:sagemaker:us-west-1:<user-id>:domain/d-<domain-id>

我查看了有关 CreateDomain 命令的一些文档,看起来它涉及 EFS 存储和 VPC 配置,因此我还向我的 IAM 用户添加了这些服务的 FullAccess 策略,但仍然遇到相同的错误。

我还尝试添加一个自定义策略,如下所示:https ://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-createdomain-perms这似乎也没有效果。

我在这里做错了什么?

0 投票
2 回答
233 浏览

amazon-web-services - s3 存储桶策略访问对象 url

为 IAM 用户提供访问对象 url 的 s3 存储桶策略权限是什么,这基本上是我已上传到 S3 存储桶的对象的 HTTPs url。

使用上述策略,我可以将对象下载到我的本地,但我无法使用包含 Https 链接的对象 url 访问它。如果我将 s3 存储桶完全公开,那么只有这样我才能拥有对对象 url 的 https 访问权限。

我不想提供完全的公共访问权限以及如何通过存储桶策略提供对此的访问权限?

0 投票
1 回答
78 浏览

amazon-web-services - 如何设置权限以查看/恢复 AWS S3 对象版本历史记录

我似乎无法弄清楚必须向我的策略添加哪些权限才能允许 IAM 用户访问查看/下载对象的先前版本。

目前,我的策略包含以下权限。登录 AWS 控制台网站后,用户确实可以看到存储桶中所有对象的先前版本的完整历史记录:

但是,当单击其中一个对象查看以前的版本时,打开或下载文件失败,并显示“访问被拒绝”错误。

我也发现了这个API 调用,但它也只要求设置“s3:ListBucketVersions”权限,就是这种情况。

此外,对于以前的版本(而不仅仅是最新版本)执行“get”或“put”需要什么?

0 投票
0 回答
35 浏览

amazon-web-services - 应该如何创建 AWS 权限边界?

我有一个 AWS SAM 非常简单的项目,它具有以这种方式定义的权限边界;

在部署期间,我收到错误:

这个权限边界应该如何创建?这应该是手动任务吗?

这似乎是sam init在我的机器上运行和通过 AWS 控制台创建完全相同的模板之间的区别之一。AWS 创建似乎创建了这个边界,可能将其附加到应用程序,但不发出任何会创建它的代码?我仍在努力理解这里所有的动静。

0 投票
2 回答
196 浏览

amazon-web-services - 需要哪些 AWS 权限才能查看 ECR 增强图像扫描结果

我最近在 AWS 上为我的一个 ECR 存储库启用了增强图像扫描。

我的用户可以看到存储库中的图像,并且每个图像旁边都有一个“查看结果”链接。当我单击该链接时,将打开另一个页面,其中显示了该图像的所有发现。

我正在尝试授予其他 IAM 用户查看这些发现的权限。该用户已经可以看到存储库和图像。用户甚至可以看到每个图像的“查看结果”链接。单击该链接将按预期打开新页面,但该页面为空。它说“没有扫描结果”

在此处输入图像描述

我为用户提供了所有 ECR 列表和读取权限,如下所示:

请注意,这些权限已经包含“ecr:DescribeImageScanFindings”,但用户仍然看不到结果。

我应该向该用户授予哪些 IAM 权限才能使这些发现可见?