问题标签 [aws-policies]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
0 回答
235 浏览

amazon-web-services - AWS S3 Permissios - 创建文件夹,同时只能上传某些扩展

我正在尝试编写一个 IAM 策略来执行以下操作:

  • 允许用户访问特定的存储桶
  • 只能上传选定的几种类型的文件.. 基于扩展名
  • 允许在该存储桶中创建文件夹

我已经设法做到了前两个,但我无法满足第三个要求。这是我尝试过的:

}

0 投票
1 回答
19 浏览

amazon-web-services - 我应该为管理员选择哪些 AWS 策略?

在 IAM 下,我正在设置新用户。对于管理员,我应该选择哪些策略开始以及我应该设置哪些权限作为最佳实践的一部分?

点击查看图片

0 投票
1 回答
76 浏览

amazon-iam - 授予用户创建组织权限的 SLR 策略

我希望拥有一个能够创建 IAM 组织的 IAM 用户,仅此而已。

为此,我需要创建一个使用 SLR 的策略。

我将策略附加到我的 IAM 所属的组。

如果我使用通用 SLR 权限策略,我可以使用任何用户创建一个组织。

当我指定我想要拥有这些权限的确切用户资源时,我不能再这样做了。

这是 aws 文档中提供的模板

这是我的

我得到的错误是:

我错过了什么?

0 投票
1 回答
295 浏览

encryption - 如何加密/解密来自 KMS 策略的 sqs 消息

消息应加密给未经授权的用户,并在 sqs 中为授权用户/队列自动解密。

0 投票
0 回答
50 浏览

amazon-web-services - IAM 策略无法拒绝 $connected 用户访问自定义 WebSocket 路由

在 AWS Gateway WebSocket API 中,我试图通过向某些用户(但不是全部)授予一些访问权限来控制对我的 WebSocket 端点的访问,特别是使用 IAM,如官方文档中所述:

https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-websocket-control-access-iam.html

作为测试,当我尝试使用特定策略(正是上面链接中显示的策略)连接到我的 AWS WebSocket 端点的具有特定身份的某些用户时,这可以正常工作(因此控制对工作的访问Allow)。Deny$connect

我的用例是允许这些用户连接(调用$connect)但阻止他们调用其他一些自定义路由(因此他们将连接并接收一些消息但无法调用特定路由)。但是,当我尝试控制对任何其他路由(预定义的类似$default路由或任何自定义路由)的访问时,连接的用户仍然能够调用自定义路由,即使它们Deny在策略中被编辑。

文档可能缺少什么吗?为什么连接的用户仍然能够调用其他自定义秘密路由?使用的策略正是上面链接中官方文档提供的策略。

如前所述,我知道策略和身份正在起作用,因为我能够Deny和路线Allow$connect但没有其他路线。

因此,在用户连接到 WebSocket 之后(该用户具有Allows的身份$connect),用户也能够发送以下消息(并且消息到达秘密路由的处理程序),即使秘密路由在政策。

注意,invokeCommand是我的秘密路线。

我完全不明白为什么这条路线仍然可以调用。

这是Policy我正在使用的:

下面是访问 WebSocket API 的日志:

任何人都可以帮助我理解为什么这不起作用或我能做些什么来让它起作用吗?

0 投票
1 回答
91 浏览

amazon-web-services - 如何在 AWS 中对“tag:UntagResources”操作应用拒绝策略

我有这个政策应该阻止用户从 AWS 的任何资源中删除标签。但标签仍在从资源中删除。

由于我是 AWS 的新手,所以我不知道出了什么问题。其他权限工作正常。只是取消标记不起作用。如何拒绝取消标记资源?提前致谢。

我怎么做tag:UntagResources

0 投票
1 回答
309 浏览

amazon-web-services - AWS S3 和 Cyber​​duck 和 MFA

我们为用户制定了一项政策,以限制他们访问 AWS,而无需在其账户上启用 MFA。因此,目前每个人都被迫在他们的账户上启用 MFA,并在他们登录 AWS 并需要访问任何内容时使用它。这一切正常,没有问题。

我们遇到的问题是我们使用 Cyber​​duck 访问我们的 AWS S3 存储桶,目前我们正在使用 Cyber​​duck 中的访问密钥和秘密密钥来探索 S3 存储桶。当在用户帐户上启用 MFA 时,Cyber​​duck 不会让连接到 S3 并保持失败,并且一旦我们在同一帐户上禁用 MFA,我们就可以使用相同的访问密钥和密钥通过 Cyber​​duck 连接到 S3。

你们有没有想过我们如何解决这个问题并强制每个人在他们的帐户上启用 MFA,但能够在启用 MFA 时使用他们自己的访问密钥和秘密密钥访问 S3 存储桶?

如果你们中的任何人都可以提供帮助并遇到相同的情况,那就太好了。

欢迎任何替代解决方案。

我还应该提到,要连接到 S3 并浏览存储桶的用户不是技术人员,他们不能做很多技术工作。因此,我们正在寻求一个简单的解决方案。

感谢你们。

0 投票
2 回答
323 浏览

aws-lambda - AWS IAM 执行角色无权在 EC2 上为特定 VPC 调用 CreateNetworkInterface

我收到此错误:Error: Error creating Lambda function: InvalidParameterValueException: The provided execution role does not have permissions to call CreateNetworkInterface on EC2尝试使用自定义 Lambda 角色创建具有 IAM 权限的 lambda 时:

创建 lambda 可以在没有任何条件的情况下完美运行(如 AWS Lambda 中所指出的:提供的执行角色没有权限在 EC2 上调用 DescribeNetworkInterfaces),但我需要该角色能够匹配 VPC(或ec2:Subnetarn)。

ArnEquals注意:我用and尝试了 condition.test StringEquals

0 投票
1 回答
60 浏览

amazon-web-services - 授予 AWS Config 对 Amazon S3 存储桶的访问权限

我想创建对 Amazon S3 存储桶的 AWS Config 访问权限,下面提供了我根据链接https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-编写的策略政策.html

我想知道下面提供的部分:

保单的含义是什么?prefix如何填写prefix/AWSLogs/sourceAccountID-WithoutHyphens/Config/*保单部分?

谢谢。

0 投票
1 回答
98 浏览

json - 桶策略允许基于提供的 IP 地址,但允许雪花角色,尽管 IP 地址

我有一种情况,我需要限制 s3 存储桶以拒绝除提供的 ips 列表之外的所有其他 ips,但也允许访问雪花。由于雪花在一个区域中使用的可能 IP 地址列表很多 - https://ip-ranges.amazonaws.com/ip-ranges.json,我试图查看是否可以提供基于为雪花 s3 阶段创建的雪花角色。我尝试的策略如下所示。

这非常适合阻止其他 IP 地址,但 Snowflake 无法访问。由于“拒绝”可能会拒绝所有 IP 地址,而不管上述雪花的“允许”声明如何,我尝试了如下允许 IP 地址。

现在雪花可以访问但ip限制不起作用。所有 ip 都可以访问存储桶。有人可以帮我解决我的情况吗?