问题标签 [aws-policies]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
3462 浏览

amazon-s3 - AWS 策略中 transfer:HomeFolder 和 transfer:HomeDirectory 之间的区别

根据文档,在为 AWS Transfer SFTP 服务器中的用户创建范围缩小策略时,可以在该策略中使用策略${transfer:HomeFolder}变量。但是,我找不到任何关于两者之间区别的描述。有人可以解释或链接到相关文档吗?${transfer:HomeDirectory}

0 投票
1 回答
192 浏览

terraform - 如何从 AWS 控制台派生策略转变为有效的 terraform 脚本策略?

我有一个 terraform 脚本,它在 aws 上提供了一个 lambda 函数来发送电子邮件。我从网络上的教程和模板中拼凑出这个 terraform 脚本,以使用 AWS SES、Api Gateway、Lambda 和 Cloudwatch 服务。

不过,为了获得工作权限,我必须运行脚本,然后在 AWS 控制台中单独构建一个策略并将其应用于 lambda 函数,以便它可以完全访问 SES 和 Cloudwatch 服务。但是我完全不清楚如何采用该工作策略并将其适应我的 terraform 脚本。任何人都可以提供或指出有关此事的指导吗?

我的 terraform 脚本中的有限/不充分但在其他方面起作用的角色如下所示:

...以及在控制台中生成的工作策略(通过将两个角色组合在一起以实现所有 Cloudwatch 和所有 SES 访问):

有字段所以我总结的问题,最笼统地说,是这样的:

给定在 aws 控制台中构建的“策略”(通过选择一堆角色等),如何将其转换为 terraform 脚本所需的“角色”?

0 投票
1 回答
112 浏览

c# - ListDiscoveredResources 和 ListResource 函数的 aws iam 策略是什么

ListDiscoveredResources 和 ListResource 函数的 aws iam 策略是什么?当我从 aws cli 尝试时,它返回错误user is not authorized to perform:config:listDiscoveredResources for list found resource and user is not authorized to perform:config:ram:ListResources on resource for list resource

0 投票
1 回答
301 浏览

amazon-web-services - 我应该在我的 api 网关资源策略中使用什么 cidr 范围以允许 lambda 调用我的端点?

我在 api 网关中设置了以下资源策略以限制对源 IP 的访问(x 只是一个占位符)。当我从邮递员手动点击 api 端点时,策略正确地将访问限制为我在下面的资源策略中指定的 cidr 范围。

但是,我有一个 lambda 函数,它也调用相同的 https api 网关端点。这个函数基本上只是每隔一小时将测试数据传递到我的 api 中。但是,lambda 函数无法到达端点并收到 403 禁止错误。我尝试将其添加sourceVpc到资源策略中,但这似乎不起作用。我也尝试添加 vpc cidr 范围,但这同样不起作用。

你知道我应该在资源策略中添加什么 cidr 以允许我的 lambda 也调用我的 api 端点吗?

0 投票
1 回答
477 浏览

amazon-web-services - IAM角色的信任策略条件

有人可以解释为什么 AWS 将角色设计为具有像整个服务(EC2、Lambda 等)这样的委托人,即无法关联/限制以由特定的 EC2 实例类型或特定的 Lambda 函数承担 - 我错过了关键的 AWS 设计理念在这里?

如果我想将特定角色限制为只能由 t2.micro EC2 实例(并且没有其他 EC2 实例系列类型)承担,这在 AWS 中可以实现吗?如果可以做到这一点,该限制将写入哪个权限策略?

尝试将下面的条件部分添加到角色的“受信任的身份”策略中,但这不起作用,即其他实例类型示例 t2.large 也能够执行操作,例如创建存储桶(使用 CLI)。

0 投票
1 回答
330 浏览

amazon-web-services - 角色信任关系策略中的 AssumeRole 操作

根据 AWS 文档,

想要访问不同帐户中的角色的用户还必须具有用户帐户管理员委派的权限。管理员必须附加一个策略,以允许用户为其他账户中角色的 ARN 调用 AssumeRole。

我理解这个要求。但是,我不确定为什么仍然需要在角色的“信任关系”中再次指定“AssumeRole”操作。允许/限制委托人(使用“AssumeRole”操作)承担特定角色以及被假设的角色信任假设委托人(在其“信任关系”中)是有意义的,但不确定为什么角色本身必须在其信任关系中指定“AssumeRole”操作。这些角色总是可以假设的——不是吗?或者,在角色的“信任关系”中指定“AssumeRole”动作有什么意义?

0 投票
2 回答
3986 浏览

amazon-web-services - 管理员无法在 AWS KMS 中加密/解密

我在 AWS 中使用密钥管理服务 (KMS),目前正在设置密钥策略

我创建了两个角色KmsUserKmsAdmin,并将以下密钥策略附加到我的 CMK:

问题是,现在如果我尝试将我的密钥用作myadmin用户(附加了AdministratorAccess策略),我会在 CLI 中收到错误消息:

特别奇怪的是,IAM 策略模拟器告诉我一切都应该按预期工作:

在此处输入图像描述

如果我手动将myadmin用户添加为密钥用户策略的主体,则一切正常。

0 投票
2 回答
2134 浏览

amazon-web-services - 无法将 KMS 授权分配给 AWS 中的角色

我在 KMS 中有一个加密密钥和两个角色:一个KeyAdmin角色应该被允许创建对KeyUser角色的授权,然后应该能够使用该密钥加密/解密。

这是我正在做的事情:

为什么持有授权的角色无法访问密钥?

更新

这些角色没有附加任何 IAM 策略。

0 投票
1 回答
858 浏览

amazon-web-services - 如何将 Cognito 身份 ID 附加到 AWS IoT 策略?

我正在尝试在 AWS IoT 和我的 React JS APP 之间建立连接。

我遵循了本教程(https://medium.com/serverlessguru/serverless-real-time-reactjs-app-aws-iot-mqtt-17d023954045),我不清楚如何将 Cognito Identity ID 附加到AWS 物联网政策。

在我所有的调查中,我发现这个过程必须通过命令行来完成。

在上面的文章中,这些过程是通过以下命令行完成的:

• 请注意,必须在此命令中考虑“identity_pool_id”。

在此处输入图像描述

在 aws 文档 ( https://aws-amplify.github.io/docs/js/pubsub ) 中,它说在命令行中写入“identity_id”:

在此处输入图像描述

当我在命令行中使用“identity_pool_id”并尝试从 AWS IoT 发布消息时,出现以下错误:

在此处输入图像描述

当我在命令行中使用“identity_id”时,我可以成功地执行 AWS IoT 和前端之间的通信:

在此处输入图像描述

问题是“identity_id”是每个用户的不同代码。考虑到我的应用程序中有很多用户,我不知道如何执行此任务。

• 我在考虑“identity_id”而不是“identity_pool_id”的过程是否正确?

• 如果是,我如何在每次有新用户登录我的应用程序时自动将Cognito ID 附加到AWS IoT 策略?

• 在AWS IoT 策略中附加数千个Cognito 证书有什么问题吗?

0 投票
1 回答
65 浏览

amazon-web-services - ec2 的 PolicySimulator:AttachVolume

我正在尝试ec2:AttachVolume使用策略模拟器 sdk java API 验证操作。我的政策如下

我如何使用策略模拟器 API 验证它,因为我需要同时提供资源,即实例和卷?