-
7 votesanswersviews
如何使用Cognito Id(配置)调用AWS API Gateway Endpoint?
我想使用 generated JavaScript API SDK 调用受 AWS_IAM 保护的 AWS API Gateway Endpoint . 我有 Cognito UserPool and a Cognito Identity Pool . 两者都通过 ClientId 正确同步 . 我使用此代码 Sign in 并获取 Cognito Identity AWS.config.re... -
1 votesanswersviews
AWS IAM Role如何轮换访问密钥,是否可以对其进行配置?
我启动了具有指定IAM角色的EC2实例 . 我能够检索密钥 . 我们可以看到,它有到期时间 . 我的应用程序每8-10小时读取一次,因此如果键被旋转,则app无法写入S3 . 亚马逊如何轮换这个临时凭证?是否可以配置或禁用到期时间?目的 - 我们不希望在源代码中存储凭据 . 谢谢 . -
0 votesanswersviews
DynamoDB细粒度访问控制和二级索引
所以,我目前正在制作一个包含多个索引的DynamoDB表,并尝试管理访问控制 . 我有一个键(organizationId),我不想用作我的二级索引分区或排序键,因为它在查询方面几乎没有意义 . DynamoDB table 表名:执行 分区键:OrganizationId(String) DynamoDB Secondary Index 主分区键:processId(String... -
0 votesanswersviews
Amazon S3策略阻止创建根级文件夹
我们希望阻止我们的S3用户在我们的存储桶根目录中创建新文件夹 . 换句话说,他们必须使用存储桶中的现有文件夹来上载或修改文件 . 如果他们愿意,他们可以选择在这些现有文件夹中创建子文件夹 . 注意:使用S3策略 . 用户选择任何现有文件夹 . 他们没有分配文件夹 . 我知道S3将文件和文件夹都视为对象,所以我不确定这是否可以完成,但我相信社区的潜力 . 这就是我想要的: Bucket-name: ... -
3 votesanswersviews
有没有办法使用IAM作为PAM的身份验证“方法”?
具体来说,运行一系列postfix,dovecot和nginx为(不是那么多)用户提供"nice"邮件服务 . 所有服务共享Pluggable authentication module (PAM)作为可能的身份验证方法 . 目前,系统的"passwd"数据库正用于通过PAM再次授权 . AWS Identity and Access Management ... -
4 votesanswersviews
Windows EC2中的AWS CLI无法使用角色来访问S3
我是AWS的新手 . 我创建了一个IAM角色,可以完全访问 S3 . 我将此角色分配给了 Windows Server EC2实例 . 然后我在该实例上安装了 CLI . 然后我使用RDP远程访问该实例,并启动了一个CMD窗口,并输入 aws s3 ls 它抱怨说 Unable to locate credentials. You can configure credentials by ... -
4 votesanswersviews
通过元数据查询续订IAM凭证时是否有宽限期?
EC2实例可以使用HTTP GET将元数据检索到“169.254.169.254” . 如果实例正确分配了IAM角色,则它可以自动“发现”其API凭据 . 但这些都是暂时的,必须定期更新 . 如果Boto在检查后不到5分钟到期,它会自动执行此操作 . 有时,更新可能会很长(几分钟) . 在我切换到此系统之前,是否有一段时间可以使用当前和“未来”凭据,或者当我查询新凭证时,当前凭据是否会失效? -
5 votesanswersviews
S3 PUT的Boto generate_url不适用于IAM角色?
我使用以下Python / Boto代码生成一个到Amazon S3存储桶的一次性文件上传URL: from boto.s3.connection import S3Connection def get_signed_upload_url(): s3 = S3Connection(ACCESS_KEY_ID, SECRET_ACCESS_KEY, is_secure=True) ... -
0 votesanswersviews
如何增加临时EC2凭证的超时?
我正在使用IAM角色从我的EC2实例访问S3,调用以下 endpoints . 卷曲http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access . 我得到的回应 - {“Code”:“Success”,“LastUpdated”:“2017-12-07T06:29:59Z”,“Type”:“AWS-HMAC”... -
3 votesanswersviews
S3上的AWS EC2 IAM角色访问被拒绝
我已经启动了一个具有IAM角色“webapp”的EC2实例 . 角色附加,我可以使用确认 curl http://169.254.169.254/latest/meta-data/iam/security-credentials/webapp { "Code" : "Success", "LastUpdated" : "... -
2 votesanswersviews
S3存储桶策略和IAM角色冲突
我正在尝试使用S3存储桶策略提供对存储桶的常规访问,同时还允许使用角色策略对角色进行特定访问 . Lambda函数使用该角色来处理存储桶中的对象 . 它在第一个障碍时停止 - 它不能使用前缀“incoming /”获取任何内容,即使它在角色策略中被允许,并且未在存储桶策略中明确拒绝 . 角色政策: { "Version": "2012-10-17"... -
0 votesanswersviews
AWS-IAM:允许访问单个存储桶
我创建了一个组,然后我向该组添加了新用户,然后我创建了以下IAM策略: { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:Li... -
1 votesanswersviews
如何拒绝其他用户/角色创建具有IAM角色的EC2实例
我有一个带有机密数据的S3存储桶 . 我添加了一个存储桶策略,只允许在帐户中设置一组有限的角色 . 这会阻止其他用户从控制台访问s3存储桶 . 为EC2实例创建了一个允许的角色,例如“foo-role”,以读取S3存储桶 . 现在,即使被拒绝的角色也可以创建一个虚拟机,将“foo-role”分配给该虚拟机,将ssh分配给该虚拟机并查看存储桶内容 . 有没有办法阻止其他用户将“foo-role”分配... -
0 votesanswersviews
IAM角色访问另一个AWS账户的服务
出于安全原因,我们有一个dev,QA和prod AWS账户 . 我们正在为实例使用IAM角色 . 这在每个帐户的基础上正常工作 . 现在招聘的是我们想要从Dev aws账户中的一个QA账户的EC2实例上访问多个aws服务(例如S3,SQS,SNS,EC2等) . 我们创建了STS策略和角色,允许 Trusted entities 作为另一个AWS账户,但不知何故无法将此角色附加到EC2实例 . 示... -
1 votesanswersviews
在承担角色后无法将对象放入S3存储桶
在假设角色后尝试将对象放入另一个帐户的S3存储桶时,我看到以下错误 . 但是我能够列出桶下的所有对象 . “errorMessage”:“调用PutObject操作时发生错误(AccessDenied):Access Denied”,“errorType”:“ClientError”,botocore.exceptions.ClientError:调用PutObject操作时发生错误(Acces... -
0 votesanswersviews
S3 PutObject操作为Access Denied提供了包含允许访问S3的策略的IAM角色
我有一个IAM角色,附加了自定义策略,允许访问我们称之为 foo-bar 的S3存储桶 . 我已尝试使用 PutObject 和其他一些操作授予对该特定资源的访问权限 . 当我使用 aws s3 sync. s3://foo-bar 时,IAM角色附加到EC2实例,但EC2实例无权访问上载文件 . 为了测试它是否是策略的问题,我只是授予了S3:* to * resources,它仍然无法上传 . ... -
0 votesanswersviews
AWS EC2容器服务的IAM角色
问:EC2实例和ecs实例的IAM角色是否相同? 场景:我希望帐户中的一个ecs容器实例能够访问一个S3存储桶 . 我完成了所有IAM策略,但是我找不到允许我的ecs实例能够与特定s3存储桶通信的策略 . 根据这个概念,ecs实例本身就是一个EC2实例 . EC2实例的现有角色策略是否足够? -
5 votesanswersviews
如何在CloudFormation模板中使用来自其他AWS账户的AssumeRole?
我正在尝试计算AWS CloudFormation模板的逻辑流程,该模板将承担IAM角色,该角色可以从另一个AWS账户中的S3存储桶中提取文件 . 到目前为止我所拥有的是: accountA有一个角色A. roleA的策略允许sts:AssumeRole用于accountB中的角色:arn:aws:iam :: 11122233444:role / AllowPullS3 accoun... -
0 votesanswersviews
在另一个帐户中创建S3 Bucket
我有一个配置了IAM角色的ec2实例,可以在自己的帐户中读取S3 . 我在另一个有权创建S3存储桶的AWS账户中配置了跨账户角色 . 然后,我赋予了ec2实例被分配访问权限使用交叉帐户角色的角色 . 当我尝试创建s3存储桶时,它会尝试在自己的帐户中创建它 . 如何告诉aws cli在其他帐户中创建存储桶? -
0 votesanswersviews
AWS代码提交跨帐户IAM角色
我有两个AWS账户: DEV: 111111111111 PROD: 999999999999 我在prod帐户中创建了一个名为 prodRepo 的代码提交仓库 . 我想要做的是允许 DEV 和 PROD 帐户上的ec2实例具有对此repo的只读访问权限 . 所以 git clone , git pull 等...... 我可以使用以下名为 codecommit-tester 的IAM实例配... -
1 votesanswersviews
aws s3 Bucket策略未按预期工作
我在一个AWS账户中有一个s3存储桶说ACCID1 . 我想允许root用户和一个特定用户USER1对其拥有完全访问权限 . 从另一个帐户,ACCID2,我有IAM角色,我想附加到EC2实例,并且只允许从该IAM角色进行访问 . 角色是备份 - 完全访问(读取,写入和删除) . 我创建了以下存储桶策略,但是无法通过以上IAM角色启动的EC2实例访问存储桶(在ACCID2中) . 我可以将它从EC2... -
5 votesanswersviews
具有跨帐户IAM角色的EC2实例
我在我的一个帐户(比如帐户A)中创建了一个跨帐户IAM角色,并希望将该角色附加到另一个帐户(帐户B)中的ec2实例 . 我尝试在帐户B中使用sts创建一个新角色:AssumeRole指向A中的角色并将其附加到B中的ec2实例 . 似乎不起作用 . ec2实例如何在A中承担交叉帐户角色? -
2 votesanswersviews
跨帐户角色授予S3存储桶访问权限 - 权限被拒绝
我有两个帐户,帐户ACCOUNTAAAA和ACCOUNTBBBB . 帐户ACCOUNTAAAA中存在一个桶(BUCKETAAAA),ACCOUNTBBBB中具有角色(ROLEBBBB)的实例需要能够从中读取 . 我已将以下权限添加到存储桶: { "Effect": "Allow", "Principal"... -
2 votesanswersviews
AWS - 无法从EC2窗口访问S3存储桶
我已经启动了EC2 - Windows实例创建了一个S3存储桶,创建了一个角色S3-FullAccess并分配给EC2实例 . 从EC2实例浏览器,我可以访问我的角色的元数据:http://169.254.169.254/latest/meta-data/iam/security-credentials/EC2-S3-access { "Code" : "Su... -
1 votesanswersviews
AWS Assume角色与EC2实例IAM角色无法正常工作
在我们的应用程序中,我们使用自定义角色访问aws API . 在开发人员环境中,我们在app.config中提供了访问密钥和密钥,它运行良好 . 在prod环境中,我们设置了具有自定义角色必要权限的IAM角色,并使用该IAM角色启动EC2实例 . 当我们尝试使用代码切换角色时,我们会遇到错误 Message: User: arn:aws:sts::XXXXXXXXX:assumed-role//i... -
0 votesanswersviews
无法从Windows EC2实例访问S3存储桶zip文件
我创建了一个EC2实例,它附加了一个IAM角色(我手动创建)以允许它访问S3存储桶 . 这是与IAM角色关联的策略: { "Version": "2012-10-17", "Statement": [ { "Action": [ "autosca... -
2 votesanswersviews
哪个角色附加到实例
如何 check which IAM roles and it's policy json, are attached to the running EC2 实例? 是否可以通过AWS CLI? 这里响应aws ec2 ddescribe-instances 我尝试触发命令 - aws iam list-instance-profiles ,它给了我以下错误 - 调用ListInstanceP... -
2 votesanswersviews
我们如何将IAM角色应用于ec2实例?
我正在探索亚马逊IAM角色 . 我想知道如何将IAM角色应用于ec2实例以访问应用程序 . 任何领导都非常感谢 . 谢谢 -
14 votesanswersviews
具有IAM角色的AWS EC2的静态内容
通过the / many / resources阅读如何在已启动的EC2实例中使用临时AWS凭证,我似乎无法运行极其简单的POC . Desired: 启动EC2实例 SSH in 从私有S3存储桶中提取一段静态内容 Steps: 创建 IAM 角色 使用指定的上述 IAM 角色启动新的 EC2 实例; SSH in 使用 aws configure 设置凭据,并在... -
0 votesanswersviews
在RDS中使用EC2实例配置文件和IAM身份验证
我在RDS实例上设置了IAM身份验证,我可以使用IAM获取工作时间为15分钟的数据库密码 . 这可以访问数据库进行备份,但是这个数据库支持Web应用程序,所以当前15分钟后,应用程序用来连接到数据库的密码变得无效,应用程序崩溃,因为它无法再访问数据库 . 但是,在RDS IAM docs中有这一行: 对于在Amazon EC2上运行的应用程序,您可以使用EC2实例配置文件凭据访问数据库,因此您无...