amazon-iam
CloudWatch 监控脚本应使用 IAM 角色的哪些权限/策略
使用 CloudWatch 监控脚本 (mon-put-instance-data.pl),可以指定 IAM 角色名称来提供 AWS 凭证 (--aws-iam-role=VALUE)。 我正在为此目的创建一个 IAM 角色(在 AWS 实例上运行 mon-put-instance-data.pl),但我应该赋予该角色哪些权限/策略?? 感谢您的帮助 ...
amazon-iam
amazon-iam
在 AWS IAM 中,如何编写策略来允许所有操作?
我读过AWS IAM 示例策略但没有看到允许一个团体做所有事情的例子。 我想: { "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" } ] } 但它不起作用。 有任何想法吗? ...
amazon-iam
您可以要求 AWS IAM 帐户进行 MFA 吗?
是否可以要求为 Amazon Web Services 中的特定/所有 IAM 帐户启用多重身份验证 (MFA)? 有密码要求的选项,并且很清楚如何选择将其添加到自己的帐户,但不清楚是否有强制用户进行 MFA 的选项。 ...
amazon-iam
设置和使用 AWS 命令行工具的安全性需要哪些步骤?
我一直在尝试按照 Eric 最有用的指南设置 AWS 命令行工具http://alestic.com/2012/09/aws-command-line-tools。 我似乎找不到有关如何生成 x509 证书和私钥的良好指南,以及它与指南创建的各种安全文件的关系。 更新: 我找到了几个描述一些步骤的链接。这些步骤似乎有效,但我不确定这是否安全以及是否是最好的方法: 1)创建私钥 openssl genrsa -out my-private-key.pem 2048 2)创建 x.509 证书 openssl req -new -x509 -...
amazon-iam
部分用户名匹配的 AWS IAM 策略(从 SSO 中提取用户名)
我们对 AWS 用户使用单点登录,因此当用户登录时他们会承担一个角色,但他们没有实际的 IAM 用户帐户。 我们使用 CodeCommit,它需要向 IAM 用户添加 SSH 密钥。 这意味着我们为开发人员创建用户帐户,因此有某种方式可以上传 SSH 密钥,但我们不希望开发人员使用该帐户登录 AWS 控制台,因为它会绕过我们的 SSO 系统。 这意味着开发人员无法上传自己的 SSH 密钥,因为他们以与 SSH IAM 用户不同的 SSO 用户身份登录,所以他们没有权限上传 SSH 密钥。 我想编写一个允许此访问的 IAM 策略,因为两个系统之间的用户名是相同...
amazon-iam
AWS CodeBuild 用户未承担服务角色
我正在 CodeBuild 中设置一个构建项目,该项目从 GitHub 存储库创建一个 Docker 容器,并将其推送到 ECR。此构建过程使用之前构建的存储在 ECR 中的容器。该项目运行良好。 我遇到的问题是,尽管服务角色具有 AmazonEC2ContainerRegistryPowerUser,但 CodeBuild 使用的用户在 ecr:GetAuthorizationToken 上被拒绝权限。 该用户名为 $ACCOUNT_NAME$-s3bucket。这很奇怪,因为项目在构建过程中不使用 S3 做任何事情。是什么导致了这个问题? ...
amazon-iam
服务用户的 AWS 自动 IAM 角色
我有一个具有分配/承担角色的 EC2 实例。当我运行时: aws sts get-caller-identity 作为主登录用户或使用sudo它返回预期的帐户信息。但是,我有一个使用 AWS 的服务,该服务以不同的用户身份运行 ( prometheus)。其日志表明无法获取角色。此外,当我运行以下命令时,会出现失败: sudo -u prometheus aws sts get-caller-identity 哪些用户帐户有权访问所承担的角色?我们如何让其他用户也有权访问所承担的角色?(这显然不仅仅是服务的问题,因为服务sudo -u也不起作用)。 如果...
amazon-iam
如何让朋友/商业伙伴与我一起在 AWS 上查看和编辑 Lex 机器人?
当我尝试在 StackOverFlow 上提问时,有人建议我在这里提问,但后来一些版主删除了我的问题,却没有告诉我原因。如果这里不适合提问这种问题,他们至少可以引导我去一个适合我特定问题的网站,而不是非常消极被动。不,我不在乎版主是否进一步报复,因为我可以在没有权力小丑的其他平台上发布此类问题。好吧,好吧,好吧……为什么我对那位版主的真面目并不感到惊讶?伪君子——抱怨 SO 是精英主义和敌对的,但自己却对我这样的新用户表现出这种行为。 长话短说,我希望我的朋友(也是我创业公司的合伙人)帮助我通过 AWS 在 Amazon Lex 中开发、测试和部署 AI...
amazon-iam
随时随地的 IAM 角色
我一直在任何地方使用 IAM 角色。要从您的环境进行身份验证,您的非 AWS 工作负载将通过您的信任锚信任的证书进行身份验证,并从角色获取临时凭证。通过使用以下命令 $ ./aws_signing_helper 凭证流程 --certificate /path/to/certificate --private-key /path/to/private-key --trust-anchor-arn arn:aws:rolesanywhere:region:account:trust-anchor/TA_ID --profile-arn arn:aws:r...
amazon-iam
本地 Terraform 存储库,具有假定角色的远程 EC2
我当前的设置是: 我的本地机器(实际上每个开发人员一台) 包含我的 Terraform 配置的 git 存储库 一个 EC2 实例,它承担一个 IAM 角色,该角色授予它应用我的 terraform 配置的权限。 此 EC2 实例内的 git repo 的克隆 我通过 SSH 从本地计算机连接到 EC2 实例并运行 terraform 我想将这种情况改变为: EC2 实例上没有 git clone 我的本地机器上没有特定权限 继续使用分配了角色的 EC2 实例来部署 Terraform 是否可以从我的本地计算机运行 terraform,并让 terr...
amazon-iam
AWS API 网关 + Cognito + IAM
我正在为公司开发 API。我试图使用 IAM + Cognito 限制外部用户访问特定端点的特定方法。目前我有一个 Cognito 用户池,有两个组(内部和外部)。每个组都设置了 IAM 角色,并为 API 网关资源设置了正确的权限。我只是不确定如何完成所有连接以防止外部用户使用 POST/PUT/DELETE 方法。 ...
amazon-iam
DynamoDB 自动扩展、应用程序自动扩展
我正在尝试设置一组可以创建新用户和 dynamoDB 表的 boto3 python AWS 脚本,以便我正在开发的 Web 应用程序可以添加具有适当范围的权限的新用户。 我无法获取脚本来将自动扩展添加到 dynamodb 表。我创建了一个 IAM 策略,我认为它过于宽泛 - 添加了大多数自动扩展和应用程序自动扩展选项,试图找出我需要什么,但我似乎仍然没有权限将自动扩展添加到我的 dynamodb 表。希望有人能发现我遗漏了什么。 下面我将展示 IAM 策略和尝试添加自动扩展的 Python 代码片段。 { "Version": "2012-10-1...
amazon-iam
跨账户 SSM 会话:AccessDeniedException
我有两个 AWS 账户,每个账户中有一个角色:帐户-A有角色A和帐户-B有角色B。 RoleA 将假定 RoleB 能够通过 连接到 Account-B 中的 EC2 实例ssm start-session。 使用 RoleA,我可以承担 RoleB 并使用 aws cli 描述 Account-B 中的实例,但由于以下错误,我无法启动 ssm 会话: An error occurred (AccessDeniedException) when calling the TerminateSession operation: User: arn:aws:sts...
amazon-iam
如何使用 IAM 角色设置 AWS 客户端 VPN 进行身份验证?
上下文:我正在尝试在 VPC 的 private_isolated 子网中设置 Postgres RDS。我想使用 pgAdmin 来处理它,这意味着我需要一个堡垒或 VPN 连接。堡垒需要长时间运行的 EC2 实例,而我目前根本没有运行任何 EC2。我想设置 VPN 连接,因为这似乎更切题。但是我们没有 AD 或 SAML 提供程序 - 我们有 IAM 用户和 SSO 来启动 AWS 会话。更新:我意识到 IAM 可以在 RDS 级别使用以允许会话登录。https://aws.amazon.com/premiumsupport/knowledge-cent...
amazon-iam
AWS IAM:拒绝用户针对特定资源创建策略
我希望能够授予我的管理员用户在 IAM 中创建策略的权限,但我想确保他们不能创建影响特定资源的策略。 更具体地说,这些管理员用户当前位于一个用户组中,该组策略授予他们完全的 S3 访问权限除了对于特定的 S3 存储桶(在本例中,它是包含 CloudTrail 日志的存储桶)。他们还属于另一个授予他们 IAM 完全访问权限的用户组,这意味着他们可以轻松创建/编辑此 S3 策略以再次授予自己对该存储桶的访问权限。有没有办法做我想做的事情,或者也许有更好的方法来设置它? ...