问题标签 [aws-policies]

有没有办法在 AWS 中定义权限/策略/角色，允许仅使用特定模板（在 S3 上更新）创建CloudFormation 堆栈？

我见过AWS 服务角色，但我认为这不是我想要的。事实上，我看不出使用它的好处（就安全性而言）。如果一个用户不能直接创建资源，但同一个用户可以通过 CloudFormation 创建资源，好处在哪里？

但是，如果有一种方法可以限制可以使用它的模板，它将在安全性方面增加好处，因为您可以定义可以创建哪些资源，而无需通过权限定义权限的特定角色所有资源堆栈。

我正在尝试创建一个策略来授予用户创建 Ec2 实例的权限，但我不想在内部授予所有权限。请验证这些权限是否足够或某些权限是否额外

我正在RDS cluster同一个模板中创建一个策略，该策略具有一些权限以允许对该集群执行特定操作。

问题是AWS::RDS::DBCluster不支持Fn::GetAtt ARN，并且由于 RDS 在 ARN 末尾添加了该随机字符串，因此在此示例中no1yzvzs29sq我不知道如何使用通配符之类的东西将名称的一部分“列入白名单”。

我想要类似的东西 arn:aws:rds:us-east-1:1111111111:cluster:production-mycluster-rdscluster-*

但它不起作用。我会很感激帮助！

我想只允许用户创建 t2.micro/small/medium 用于开发，并允许他们只使用现场实例。已创建 IAM 策略来限制实例的类型/大小。此外，我想限制“按需”实例（团队必须只选择现场实例）。实现它的更清洁方法是什么？

我正在尝试通过 AWS 控制台重命名 S3 中的对象。

我有一个角色，我附加了两项政策。

“读取”权限

和一组“写”权限

然而，当我尝试通过 AWS 控制台重命名文件（对象）时，我收到一条没有详细信息的失败错误消息......

知道可能缺少哪些附加权限吗？

我希望有一个 IAM 用户能够创建他们喜欢的任何资源，BUUTTTT 只能查看和管理自己创建的那些资源，例如不了解其他人的“子云”，或者喜欢完全独立基本上是 root 帐户（同时保留一个 root 帐户的概述）。我找不到任何东西......权限边界和一般所有政策似乎都只基于限制行动，而我想限制所有权。

我正在尝试将 IAM 用户的访问权限限制为仅 3 个存储桶。我正在努力在 AWS 上创建一个 IAM 策略，使 IAM 用户能够将文件同步到 AWS S3 和从 AWS S3 同步文件。我已经编写了以下策略，但是每次我运行aws sync命令将桌面上的文件夹与我的策略允许访问的存储桶同步时，终端似乎会卡住而没有输出任何响应或完成该过程。关于相同可能缺少哪些权限的任何想法？

}

基于身份的策略不需要指定“主体”，因为它是隐式的。将相同的理由应用于 SNS 访问控制策略（这是基于资源的策略），为什么需要在策略中指定与“资源”相同的 SNS 主题？对于存储桶，“资源”有助于缩小特定前缀等，但在 SNS 访问控制策略中拥有（隐式）“资源”究竟有什么意义？即主题 ARN 被指定为“资源”，但策略附加到同一主题。AWS 文档中的 SNS 访问控制策略示例如下所示，以供参考。

我想将 CodeArtifact 设置为易于 Windows 开发人员使用。问题是 CodeArtifact 似乎依赖于一个过期的令牌，我无法摆脱这个令牌。我宁愿不使用身份验证令牌，而是将存储库限制为我们公司的 IP 地址，并通过策略控制访问。我们的构建发布到 S3，我通过这种方式控制访问，效果很好。我已将策略条件应用为测试，但我仍需要使用身份验证令牌

这是我正在测试的策略，IP 地址已被替换：

我的部分目标是进行设置，以便该过程对开发人员透明。我可以在其中添加一行并requirements.txt使其--extra-index-url <CodeArtifact endpoint> <package>==<version>正常工作，而无需他们拥有 IAM 帐户并设置凭据。

我知道 CodeArtifact 是新的，所以可能还不支持。或者也许这不是正确的工具，我应该改用 S3。

我正在尝试使用此示例设置用户特定的 lambda 策略。有人能告诉我为什么这个只访问单个 lambda 的资源规范是错误的吗？

当我使用：

它运行良好（用户对所有 lambda 具有完全访问权限），但是当我尝试将访问限制为仅允许单个 lambda 函数时，当我尝试访问它时，我得到“用户无权访问资源”。我确认该函数是 lambda 的确切名称。

我的代码创建的完整政策声明是：