问题标签 [aws-policies]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
568 浏览

amazon-web-services - 创建 IAM 策略示例_策略时出错:MalformedPolicyDocument:策略文档不应指定委托人

我正在尝试创建存储桶策略以授予 CloudFront 源访问身份 (OAI) 权限以获取(读取)您的 Amazon S3 存储桶中的所有对象。但我面临这个错误,因为“发生错误:

感谢您的帮助。

0 投票
1 回答
65 浏览

amazon-web-services - 无法使用 terraform 创建 Amazon S3 访问策略

我正在尝试创建以下策略,以授予对我的一个任务定义 (ECS) 的 Amazon S3 的完全访问权限。这是我正在使用的地形代码:

问题是我在运行时收到此错误terraform apply

我尝试更改策略的某些属性,但找不到问题。知道发生了什么吗?

0 投票
0 回答
30 浏览

aws-pinpoint - 每个 AWS Pinpoint 项目而不是全局的消息模板和发件人电子邮件,使用 API

我们通过 API 将 AWS Pinpoint 用于不同的项目,并将其显示在我们的应用程序 UI 上。对于每个我希望能够分离使用的“模板”和已启用发送的“发件人电子邮件 ID”,以便只显示为特定项目制作的那些模板。发件人电子邮件 ID 也是如此。

对于模板,我找到了一种标记方法。API 获取的模板可以通过项目的特定标签获取。

https://docs.aws.amazon.com/pinpoint/latest/developerguide/tagging-resources.html#tags-iam

有没有办法为发件人邮件做到这一点?

是否有人使用 API 来显示与项目相关联的特定模板和发件人电子邮件?

也许用相同的标签标记项目和模板+发件人电子邮件,然后通过 API 获取?

0 投票
1 回答
35 浏览

amazon-web-services - S3:如何授予对现有存储桶文件的公共写入访问权限,但不授予 putObject 权限(私有 CRUD,公共读取/更新)

所以,我想要一个服务,在 S3 存储桶中创建具有特定链接的文件,然后允许任何拥有文件链接的人写入文件并读取它。

但是,如果您有链接,则创建文件不能是公共特权,只能编辑/读取现有文件。

这可以通过存储桶策略实现吗?基本上允许一项服务 CRUD 特权,但具有公共 RU 特权。

0 投票
1 回答
218 浏览

amazon-web-services - 如何允许 cognito 身份验证的用户获得对 s3 存储桶的公共访问权限

我希望我的 Cognito 身份验证用户(通过谷歌身份提供者)公开访问存储桶对象,而不需要任何x-Amz-Security签名令牌。

在我的应用程序中,经过身份验证的用户每天上传 100 张图片,我无法在 Dynamodb 中存储带有令牌的每个图片 URL,因为它仅在 7 天内有效,7 天后它的令牌会更改。访问存储桶对象的另一种方法是请求 getObject 调用,它需要一个键(文件名)并返回带有令牌(和到期)的对象/图像 URL,我可以用它来渲染图像,但我不想进行额外调用以获取标记化的 URL。因此,我希望经过身份验证的用户能够公开访问我存储桶中的所有对象。

为此,我正在使用 Amplify,并且可以使用amplify add storage. 我尝试编写存储桶策略,但它对我不起作用:

上述策略不起作用,我仍然需要一个令牌才能从 s3 存储桶访问图像/对象。我也尝试过这个原则,但它允许公共访问对象,这意味着未经身份验证的用户也可以访问它。

在此之后,我在 Cognito 池 ID 和 google id 的帮助下创建了一个身份池。并授予它读、写和列出权限。但是经过身份验证的用户仍然需要一个签名的 URL,我希望允许他们使用未签名的 URL 一次性访问它。

0 投票
1 回答
67 浏览

aws-api-gateway - 如何通过资源策略限制对无服务器 API 的访问?

通过 cloudformation 模板构建的无服务器 API 网关堆栈(见下文)。我添加了一个资源策略以将特定 IP 地址列入白名单。这会阻止所有其他 IP 地址,而不指定黑名单,还是我也添加了 IpRangeBlacklist 值?

0 投票
1 回答
18 浏览

amazon-web-services - 如何在 Policy Generator 中获取 Principle 值?

要在我的策略生成器中创建新的存储桶策略,我是否需要创建一个 IAM 用户以从中获取 Principal 值,或者是否有其他方法来获取此 Principle 值?

0 投票
1 回答
70 浏览

amazon-web-services - 负载均衡器的 AWS 存储桶策略权限被拒绝

到目前为止,我的 S3 存储桶策略看起来像我从生成器策略中获得的,我将我的账户 ID 作为生成策略的原则包含在内,但是当我在负载均衡器属性中添加它时,它显示“存储桶的访问被拒绝:bucket2。请检查 S3bucket 权限“什么是拒绝访问,我该如何解决?

0 投票
0 回答
53 浏览

amazon-web-services - Amazon S3 拒绝 S3:DeleteObject 和 S3:DeleteObjectVersion 仍会删除对象并生成 TMP 文件

我正在使用 RClone 挂载我的远程存储桶并通过我的 Windows 资源管理器访问它们,到目前为止它已经完成了这项工作。我们正在尝试创建策略来控制用户如何与数据交互,现在我们正在尝试拒绝删除权限。

我正在尝试使用此自定义策略隐式拒绝对我的 Amazon S3 存储桶的 DeleteObject 和 DeleteObjectVersion 权限

当我删除该对象时,它似乎没有被删除,因为当我刷新浏览器时它再次出现。但是当我打开文件并尝试修改它时,它会生成两个或多个 .TMP 文件,但仍然会删除我的文件或文件夹。

我知道我可能没有使用最佳实践,因为我是 S3 策略的新手,还不完全了解它们是如何工作的。

这些是我删除文件并尝试修改后生成的文件

0 投票
1 回答
229 浏览

amazon-web-services - 为什么我的 IAM 策略没有使用 terraform 附加到我的 IAM 角色?

我们的 Terraform 部署的一部分应该创建一个策略和一个角色,然后将一个附加到另一个。

我们当前的 tf 是:

显然,变量是从另一个文件传入的。整个模块是从父级调用的。

当我们的管道运行时,它会创建策略和角色,并在没有错误的情况下完成。但是,当我通过 aws 控制台检查策略时,我发现角色和策略未附加。谁能明白为什么?

我确实从文档中注意到,此资源 ( aws_iam_role_policy_attachment) 用于将“托管IAM 策略附加到 IAM 角色”。我们的政策不是受管理的。但是我在 terraform 注册表中找不到其他用于客户管理策略的 aws 资源的资源。

非常感谢