问题标签 [policies]

我已经阅读了许多文档并观看了许多视频，但我仍然对 IAM 角色和存储桶策略感到非常困惑。这让我感到困惑：

1）我创建一个桶。那时我可以将其公开或保密。如果我将其公开，那么任何人或任何Application都可以“看到”存储桶中的对象。我认为可以将权限设置为添加/删除/获取/列出存储桶中的对象。如果是这种情况，那么为什么我需要为 S3 存储桶添加任何 IAM 角色，或者添加任何存储桶策略 (???)

2) 在我创建存储桶时，我可以只向某些用户/应用程序/EC2 实例等授予对全部或部分存储桶的非常特定的权限吗？例如，EC2-X 上的 App1 可以访问存储桶 B1 中的子文件夹 A。

3) 来到 IAM 角色，一个提供完全 S3 访问权限的 EC2 角色——这是什么意思？完全访问任何存储桶？如何将在 EC2 上运行的应用程序限制为仅具有某些受限权限（参见上面的 #2）的特定存储桶？EC2 上的所有应用程序是否都具有对所有存储桶的完全访问权限？在创建存储桶时，是否可以将权限设置为可以推翻 IAM 角色？

4) 最后，Bucket Policies 除了上述的 IAM Roles 还做了什么？例如，“AllowS3FullAccess”是“桶策略”还是“IAM 策略”？为什么要区分策略类型-策略只是-它们在某些对象/资源上定义了一些权限/规则，正如我所见。

感谢您的任何澄清。- AWS 新手

我有一个带有中间件规则的字符串（例如在路由中）：

是否有可能检查给定用户是否有权访问此中间件规则？

有没有办法在创建 EC2 实例时强制执行标记？我，e 用户无法启动没有特定标签的实例。我可以根据标签使用该标签来控制特定实例吗？

我正在尝试从 AWS IoT（AWS IoT Embedded C SDK）运行本教程中的示例。

我的aws_iot_config.h文件具有以下配置：

我的政策是这样的：

当我运行subscribe_publish_sample示例时，我收到以下错误：

调试：iot_tls_connect L#236 ok
[协议是 TLSv1.2]
[密码套件是 TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384]

调试：iot_tls_connect L#238 [记录扩展为 29]

调试：iot_tls_connect L#243。正在验证对等 X.509 证书...
调试：iot_tls_connect L#252 ok

调试：iot_tls_connect L#262。对等证书信息...

调试：iot_tls_connect L#264 证书。版本：3
序列号：3C:75:FE:30:01:DD:A3:B9:EF:72:DC:F6:7A:5C:A2:54
发行者名称：C=US, O=Symantec Corporation, OU =Symantec Trust Network, CN=Symantec Class 3 ECC 256 bit SSL CA - G2 主题名称：C=US, ST=Washington, L=Seattle, O=Amazon.com, Inc., CN=*.iot.us-east -2.amazonaws.com
发布于：2017-10-12 00:00:00
到期：2018-10-13 23:59:59
签名使用：具有 SHA256
EC 密钥大小的 ECDSA：256 位
基本约束：CA=false
主题替代名称：iot.us-east-2.amazonaws.com、*.iot.us-east-2.amazonaws.com
密钥用法：数字签名
ext key 用法：TLS Web 服务器身份验证、TLS Web 客户端身份验证

订阅...
错误：主要 L#206 订阅错误：-28

谁能告诉我发生了什么？我错过了什么吗？

要点很简单：我有一个 UserPolicy 方法来检查用户是否想要编辑他/她自己的个人资料。所以我这样做了：

这在 UserController 中被调用，如下所示：

PostController 和 PostPolicy 中的所有内容都是相同的，旨在检查用户是否可以编辑他/她自己的帖子并且它可以工作。唯一的区别在于他们的签名，因为一个有两个用户（第一个是 Laravel 注入的当前经过身份验证的用户，另一个是我要检查它的实例），另一个有上面看到的自动注入的经过身份验证的用户和一个帖子实例。无论如何，它抛出：

我试过了，dd($model)但我得到了同样的例外。为什么？提前致谢！

编辑

在我的 AuthServiceProvider 中也设置了：

我的 routes.php 也是如此：

上面的所有内容都在这里调用：

我正在使用 Node API AWS.LexModelBuildingService 构建一个聊天机器人，并且我想附加所有新意图来触发相同的 lambda 函数。

在控制台中我可以手动完成，但这不适用于我正在处理的项目，附加 lambda 必须动态完成。

当我创建意图时，我可以添加附加 lambda 的行，但是权限没有得到更新，这阻碍了我。

如何授予使用 Node AWS LEX API 创建的所有当前和未来意图的权限，以便他们可以调用 Lambda？

Azure API 管理策略有很多可能性。通过订阅或按键配置Usage Quota的例子比比皆是。

但是，如果我想在同一个订阅中为不同的 API 设置不同的配额怎么办？

例如，在特定计划（APIM 术语中的产品）中包含 API 的“味道”，以便用户尝试但无法在生产中使用它。而同一计划的其他 API 将具有更高的配额。

我看到有一个控制流，但我想知道如何获取被调用的 API。

我有一个系统，管理员可以管理医生，医生有能力管理自己。为此，我使用Laravel 授权策略。我为管理员注册了一项政策，它可以访问以下医生：

但我需要的是一个单独的策略，只针对资源组中的一条路线，即doctors.edit医生可以编辑自己的个人资料，例如：can:edit-doctor, $doctor某事。

是否有可能以适当的方式做到这一点，或者我必须手动路由并分配策略而不是使用资源路由？？？

我正在尝试在内置的允许位置 Azure 策略中使用。

在我的 ARM 模板定义下方

当我尝试使用 Visual Studio 部署选项进行部署时出现以下错误

如果有人能指导我使用 Visual Studio 部署策略的正确方法，我将不胜感激。一旦在 VS 部署测试中成功，此模板将在稍后进入 DevOps 发布管道。

我创建了策略，并添加了方法视图：

然后我注册了它：

然后我尝试将它与控制器助手一起使用：

和中间件：

但我总是收到 403 错误。contact->manager 和 user->id 是一样的。此外，联系表方案：