问题标签 [aws-policies]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
0 回答
57 浏览

amazon-web-services - AWS MFA 策略明确拒绝影响整个账户

我正在尝试将 MFA 策略添加到为云跟踪创建的现有策略中,以将跟踪日志放入 S3 存储桶中,

这些是我尝试过的事情:

  1. 如果我在我的 MFA 策略中使用“*”原则,它基本上会拒绝所有内容,即使是放置日志的路径
  2. 如果我使用“NotPrincpal”并在 MFA 策略主体中定义服务,它仍然拒绝云试用放置日志;根据文档“您还必须指定未拒绝委托人的账户 ARN。否则,该策略可能会拒绝对包含委托人的整个账户的访问。根据您在策略中包含的服务,AWS 可能会验证该账户首先是用户。”
  3. 我能想到的唯一方法是在原则中添加所有用户,如果我们有数百个用户,这不是一种实用的方法。

除了第三个选项,我还有什么办法可以做到这一点

0 投票
2 回答
603 浏览

amazon-web-services - 在 Terraform 上的 aws_iam_policy 资源上包含标签

我正在尝试按照Terraform 文档创建策略

不幸的是,没有关于如何包含标签的描述。即使我可以从 AWS 管理控制台手动提供,我也无法像使用其他资源那样做到这一点。

tags设置似乎不起作用。如果我尝试对IAM 角色执行相同操作,则会收到错误消息,包括:

0 投票
1 回答
57 浏览

amazon-web-services - 如何将 ARN 设置为 s3 策略资源 AWS

我有一个名为“payroll-manager”的存储桶。我可以使用 cognito 身份验证的用户放置对象等,我修改了身份池的角色以完全访问 s3(我遵循了这个示例)。到目前为止,一切都很好。

现在我需要更改我的策略以允许用户仅从他们自己的文件夹中读取、写入等。我在谷歌上搜索了如何做到这一点,并从 AWS 中找到了这个示例。我从我的 cognito 角色中删除了对 s3 策略的完全访问权限,并按照这个示例创建了一个策略,问题是我总是收到一条禁止消息。

我打开了 IAM 策略模拟器,我发现我什至无法设置这个简单的策略,因为它总是拒绝我的权限: 在此处输入图像描述

如果我将资源更改为“*”,它允许我: 在此处输入图像描述

在这个例子中(我只有 1 个桶)。将资源与 * 或 ARN 一起使用不应该相同吗?

我应该怎么做才能定义像 AWS 这样的策略? 在此处输入图像描述

0 投票
1 回答
488 浏览

amazon-web-services - 拒绝访问。未授权执行:ec2:DescribeSubnets

创建 EMR 集群时出现此错误 在此处输入图像描述

用户在策略中拥有ec2:DescribeSubnets权限,如下所示。根本原因是什么?

0 投票
1 回答
56 浏览

amazon-web-services - JSON 策略关闭多个 EC2 实例?

我正在修改 IAM 策略中的 json 以关闭多个 EC2 实例。我可以使用以下 json 关闭一个 EC2 实例:

我无法弄清楚如何关闭多个实例。我想我可以输入多个实例 ID,但 AWS json 策略似乎不允许我做任何事情。

0 投票
0 回答
55 浏览

amazon-ecr - 设置 AWS ECR 存储库命名方案策略

我正在尝试创建一个要求公司名称作为 ECR 存储库前缀的 ECR 策略。这样,基本图像很容易与自定义图像区分开来。例如evil-corp /cloud-platform/aqua-container-scan。

我能找到的最接近的是ECR 策略的标签前缀设置。但是名字似乎是不可能的。我不知道如何应用正则表达式或类似的东西。

我该怎么办?

编辑:

现在我在想一些类似的东西可以工作:

0 投票
0 回答
135 浏览

amazon-web-services - Cloudformation 堆栈 UPDATE_ROLLBACK_FAILED 使用 AmazonEC2ContainerServiceFullAccess 更新 IAM 角色策略

自 2021 年 1 月 29 日起, AWS 已弃用该AmazonEC2ContainerServiceFullAccess政策,并建议使用AmazonECS_FullAccess政策对其进行更新

https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs_managed_policies.html

我们有一个 cloudformation 堆栈,其基础设施具有 IAM 角色和 policy AmazonEC2ContainerServiceFullAccess

我们今天尝试使用新策略更新 cloudformation 堆栈,AmazonECS_FullAccess但堆栈无法更新 cloudformation 堆栈的UPDATE_ROLLBACK_FAILED状态和错误提示

arn:aws:iam::aws:policy/AmazonEC2ContainerServiceFullAccess does not exist or is not attachable.

即使我们使用新策略修改了 cloudformation 模板AmazonECS_FullAccess,它仍然无法更新。有人可以建议如何解决这个问题

任何帮助,将不胜感激

谢谢

0 投票
2 回答
528 浏览

amazon-web-services - 授予对组织中所有委托人的 S3 存储桶访问权限

设想:

我在同一个组织中有 3 个 AWS 根账户。

  1. admin@mydomain.com
  2. user1@mydomain.com
  3. user2@mydomain.com

user1创建了一个 S3 存储桶B1。我希望user2并且admin能够B1在他们自己的 S3 仪表板上查看和浏览。这可能吗?我需要制定什么政策?我在哪里创建这些策略以及如何创建它们?

**原始问题已被编辑。下面的一些答案可能不再相关

0 投票
0 回答
104 浏览

aws-lambda - AWS SAM 模板在多个函数中共享相同的策略

我看到了这个答案,但它对我不起作用。具有相同内联策略的 AWS SAM 多项功能

当我运行sam local start-api它时'Globals', "'Policies' is not a supported property of 'Function'

这是我的示例代码

有没有办法声明全球政策

0 投票
0 回答
96 浏览

aws-policies - aws secrets manager 策略的多个条件

我写了一个政策,允许对秘密的特定行动以单词开头project1project2例如,如何向此策略添加另一个条件?