问题标签 [aws-policies]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
lambda - 如何为 serverless.yml 中的所有功能设置默认授权人
我对 jwt 授权 lambda 函数的策略大小有疑问,所以我想通过配置 serverless.yml 文件来减少策略大小,以使用通配符(*)生成策略。我可以为 serverless.yml 中的所有功能设置全局授权者吗?
这是我的基于资源的策略的示例
我想像这样改变它。
serverless.yml 文件示例。我为每个功能设置了授权人。我想把它改成全局的。
amazon-web-services - 按存储桶策略列出 S3 存储桶
我的 AWS 账户中有 400 多个存储桶,其中一些用户可以使用用户组dev-user-group和prod-user-group访问。很少有 S3 存储桶的策略是这样的
现在,我们想将其更改为以下内容
很少有存储桶只有任何一种访问权限,很少有没有任何访问权限。我们希望使用脚本自动化更新存储桶策略的过程,以便脚本需要检查是否在存储桶策略中定义了dev-user-group和prod-user-group 。如果是这样,它应该删除它们并添加新策略。
我希望我传达得更好。请给我这方面的建议。
amazon-web-services - 为什么 S3 CRR 或 SRR 使用角色而不是存储桶策略来执行复制?
通常,来自其他服务的 S3 权限通过存储桶策略进行管理,例如:允许 Cloudtrail 将日志发送到 S3。
然而,对于CRR (Cross-Region replication)或SRR (Same-Region replication),AWS 考虑使用 Roles 来获得 S3 权限 - 我只是在想他们从未将桶策略分别放在 Source 和 Target 上的原因可能是什么桶允许委托人作为"Principal": {"Service": "s3.amazonaws.com"}
这可能只是 AWS 的设计偏好,还是解决了任何其他潜在挑战?
amazon-web-services - AWS 中的多个标签值
aws:PrincipalTag可以在IAM 策略中设置多个值吗?
目前,我project在他们的 JWT 中有一个属性的联合用户,根据这个值,我可以访问我的 s3 存储桶中的特定“文件夹”。
对于具有以下值的 JWT:
和我的 AWS 政策:
它成功授予用户访问权限arn:aws:s3:::myawesomebucket/foo/。
现在我将使它适用于project属性中的多个值(授予对多个 s3“文件夹”的访问权限)。但我不知道如何执行此操作。
编辑:
在 AWS 文档(AWS 文档)中:
您可以使用自定义分隔符在单个标签中包含多个值。在此示例中,您可以将
team = Engineering:QA标签附加到 Zhang。要在此示例中使用团队标签控制对工程师的访问,您必须创建一个策略,以允许可能包括的每个配置Engineering,包括Engineering:QA
但他们没有说如何执行此操作...
amazon-web-services - 有没有办法使用 CLI 或 GUI 一次性删除多个 AWS IAM 客户托管策略?
我正在尝试删除所有客户管理的策略,但我无法找到一种方法来一键删除所有策略或仅使用一个命令
amazon-web-services - 如何为特定角色创建 IAM 策略并授予对 s3bucket 获取和放置操作的访问权限
这是我的 amazons3fullaccess 政策,但现在我只想授予 get put 和 delete 访问权限而不是完全访问权限
amazon-web-services - AWS IAM:为基于身份的策略添加“豁免”
根据AWS 文档,我向我的组管理员附加了一项策略,以强制该组的权限仅适用于启用了 MFA 的用户
我的问题是我有一个属于该管理员组的机器人(我们称之为arn:aws:iam::12345678:user/my-bot )并且它没有启用 MFA。到目前为止,我想到了这两个选项
- 将我的机器人放在不存在 EnforceMFA 策略的不同组中(重复代码)
- 不知何故为机器人启用 MFA(虽然我不喜欢那个选项)
有没有办法可以在我的 EnforceMFA 策略中添加一个例外/条件,上面写着“对于这个特定用户,不要应用这个拒绝”)
提前致谢
amazon-web-services - 仅允许从 S3 存储桶的特定文件夹中删除的 IAM 策略
我有一个桶:s3://mybucket
我只想允许删除下的对象s3://mybucket/test
我尝试了以下策略:
但是,尝试删除对象的 IAM 策略模拟器arn:aws:s3:::mybucket/test/x.txt失败并显示“隐式拒绝(无匹配语句)”。我应该改变什么?
amazon-web-services - 如何设置 AWS S3 策略,其中 Principals 是特定 aws 账户中的所有委托人
以下似乎是拒绝语句的无效主体:
假设 123412341234 是我们的帐户 ID。
这个怎么设置?下面似乎可行,但意味着必须明确列出来自外部帐户的所有相关 arn:
事实上,根据https://aws.amazon.com/blogs/security/how-to-restrict-amazon-s3-bucket-access-to-a-specific-iam-role/这甚至行不通,因为我必须包括assumed-role无法提前知道的arns。
https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notprincipal.html
amazon-web-services - '生产变体 AllTraffic 的所有图像都存在,用于创建模型的执行角色有权访问它们'
我看到了这个链接:https://github.com/aws/sagemaker-python-sdk/issues/912,它与我的问题相似但不一样,我的错误是:
由于我的 AWS 账户的安全设置,我无法将 SageMaker 完全访问权限附加到执行角色,但我确实添加了:
在策略中并附加到此执行角色中,我是 SageMaker 的新手,有人知道我为什么会收到此错误吗?
这是一些代码: