问题标签 [aws-roles]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
2 回答
53 浏览

amazon-web-services - 我需要哪些 AWS 角色策略才能运行 AWS CLI 命令

每当我运行命令来获取 DeviceFarm 项目或安排运行时,我都会收到错误消息,指出我没有运行命令的权限,并且我的用户被明确拒绝。

我在角色设置中,找不到任何要添加的策略以使我能够运行这些命令。

我需要添加什么政策?

命令:aws devicefarm schedule-run <options>

错误:User: arn:<user arn> is not authorized to perform: devicefarm:ScheduleRun on resource: <resource arn> with an explicit deny

0 投票
1 回答
157 浏览

amazon-web-services - AWS Datadog 集成问题

我已经创建了 AWS 角色/策略,但是当我尝试将 AWS 与 Datadog APM 集成时,我输入了我的 AWS 账户详细信息和角色,然后我看到:

拒绝访问。请参阅https://docs.datadoghq.com/integrations/amazon_web_services/

在此处输入图像描述

有人可以帮我解决这个问题吗?

0 投票
1 回答
65 浏览

amazon-web-services - 无法使用 terraform 创建 Amazon S3 访问策略

我正在尝试创建以下策略,以授予对我的一个任务定义 (ECS) 的 Amazon S3 的完全访问权限。这是我正在使用的地形代码:

问题是我在运行时收到此错误terraform apply

我尝试更改策略的某些属性,但找不到问题。知道发生了什么吗?

0 投票
2 回答
95 浏览

amazon-web-services - 担任角色时代码管道中的 IAM 批准

我们有用户从我们的登录帐户登录到 CI/CD 帐户 - 通常具有管理员或只读角色。

我们想在 CI/CD 账户中使用 IAM 组,以便只有特定组中的用户可以批准/拒绝部署(但我们在 CI/CD 账户中没有用户)。我们只有所需的组。但是,由于我们不在 CI/CD 账户中创建用户,而只是从我们的登陆账户中承担角色,我们如何在代码管道中使用 IAM 审批?

0 投票
1 回答
169 浏览

amazon-web-services - AWS:服务控制策略 (SCP) 不会影响服务相关角色

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html

这个页面说这些。这些到底是什么意思?此限制是否会导致任何问题?

  • SCP 不影响任何服务相关角色。服务相关角色使其他 AWS 服务能够与 AWS Organizations 集成,并且不受 SCP 限制。
  • 使用附加到服务相关角色的权限执行的任何操作(在“不受 SCP 限制的任务和实体”部分)。

想法

  1. 用户可以创建具有任何权限的新服务相关角色,而不管 SCP。因此,用户可以让 EC2 实例(例如)做用户不能直接做的事情。
  2. 用户可以使用 SCP 允许的权限创建新的服务相关角色。但是,服务相关角色可以由同一组织内的其他账户共享。因此,共享的服务相关角色可能具有 SCP 不允许的权限。
0 投票
1 回答
57 浏览

amazon-web-services - 是否可以在 AWS IAM 的显式拒绝中添加异常?

是否可以从 AWS IAM 策略中的显式拒绝中排除卷

这会阻止任何未加密的卷创建。

考虑使用条件组合将只允许在值的任何位置包含名称值的卷。

“测试_未加密”

是否可以像上面那样从拒绝中排除单个资源?

0 投票
0 回答
81 浏览

amazon-web-services - 如何识别 AWS IAM 中的服务相关角色

在 AWS 中有服务相关角色。看起来随着时间的推移,AWS 可能已经改变了他们关于如何识别这些的政策,我现在能说的最简单的方法是使用Pathfor each role,并/aws-service-role在路径中使用指示符。

我希望确定较旧的与服务相关的角色,但据我所知,唯一的方法之一是在OR 中查找/service-role(不是/aws-service-role)在策略中查找,以查看策略是否说明要么_PathPath/service-role/aws-service-role

这是识别与服务相关的旧角色的好方法吗,有没有更好的方法?

/service-role另外,角色本身或附加的政策之间/aws-service-role有什么区别?Path

我在 AWS 中找不到任何关于两者之间差异的文档Path

0 投票
0 回答
25 浏览

iot - 未找到 AWS IoT 设备预置指标

我为两个 AWS IoT 设备配置指标创建了 CloudWatch 警报 -CreateKeysAndCertificateFailedRegisterThingFailed 我未能使两个指标值增加。这些值一直是“--”。我如何解决它?谢谢你。

问:这两个指标存在吗?Ans:我通过 cli 检查了这两个指标是否存在。

问:是因为我缺乏相关的角色和政策吗?回答:我已经参考以下链接将我的帐户配置为具有 IoT 日志记录角色和策略。

配置 AWS IoT 日志的参考

AWS 物联网指标

0 投票
1 回答
122 浏览

amazon-web-services - IAM 角色未显示在 EC2 的角色列表中,即使我已正确设置信任关系

我为 AWS 创建了以下演示角色:

演示角色总结

具有以下信任关系:

演示角色信任关系

现在,我正在尝试将 EC2 实例的角色修改为DemoRoleForEC2,但该角色未出现在下拉列表中:

修改 IAM 角色页面

根据这里的答案:IAM Role not shown in aws console in Modify IAM role page,它应该可以正常工作,因为信任关系没问题,但事实并非如此。

我尝试过的其他事情是停止并重新启动 EC2 实例,并尝试从“修改 IAM 角色”页面创建角色,但没有奏效。知道问题可能是什么吗?

0 投票
1 回答
38 浏览

amazon-web-services - 使用角色调用 AWS Java SDK 在不同账户上设置的 Dynamo DB

我在 AWS_ACCOUNT_A 上的 EC2 实例上设置了一个 Java 应用程序,并试图调用已在 AWS_ACCOUNT_B 上设置的 Dynamo_DB 表。

我通过在 EC2 上假设一个已配置的实例角色来做到这一点,以便它可以访问相关的 Dynamo DB。该角色附加了一个策略,其中包括以下内容:

用于进行调用的代码如下:

执行此操作时,Java 应用程序会承担正确的角色,但调用本身会失败,因为它正在寻找不存在的 Dynamo DB 表。这是我收到的错误消息:

用户 CORRECT_INSTANCE_ROLE 无权对资源arn:ARN_OF_AWS_ACCOUNT_A /CORRECT_TABLE_PATH执行查询

显然,问题在于它试图查询错误 AWS 账户上的资源。但是,我一直无法弄清楚如何指示我的代码查询正确的 Dynamo 路径。

任何帮助将不胜感激。