标签[amazon-iam] - 堆栈内存溢出

AWS KMS 服务主体账户隔离 - AWS KMS service principal account isolation

我有如下所示的 KMS 政策声明。{ "Sid": "Allow use of the key by SNS", "Effect": "Allow", "Principal": { "Service": "sns.amazonaws.com" }, ...

Terraform IAM 策略创建 - MalformedPolicyDocument：策略遗留解析失败 - Terraform IAM Policy creation - MalformedPolicyDocument: The policy failed legacy parsing

我有假设创建 IAM 策略的Terraform代码（如下）。但是，在terraform apply上，我收到错误： Terraform 代码：但是，当我使用具有完全相同策略的 AWS cli 时，该策略是在 AWS 中创建的，没有问题：有没有人看到 TF 代码和 CLI 命令之间可能存在差异 ...

如何将REST API添加到Amplify v2 Android App？ - How to Add REST API to Amplify v2 Android App?

在为 REST API 执行amplify add api后，我无法推送我的 Amplify 后端。在“创建 API 模型...”阶段，我在 CLI 中收到以下 IAM 错误：用户：arn:aws:iam::xxxxxxxxxxxx:user/tb2-amplify 无权执行：apigatew ...

防止删除 S3 服务器访问日志 - Protection against deletion of S3 server access logs

出于审计目的，需要存储桶（例如 A）的服务器访问日志。这些日志存储在另一个存储桶中，比如 B。我们如何确保存储桶 B 中的日志没有被篡改或删除。将这些日志发送到 Cloudwatch 以获得更好的保留会更容易，但我不确定如果 S3 服务器访问日志是可能的。 ...

S3 访问被拒绝 - 存储桶所有者无法下载 CloudFront 拥有的对象 - S3 Access Denied - Bucket owner can't download objects owned by CloudFront

我有一个拥有 S3 存储桶的 IAM 用户。另外，我一直在使用 CloudFront 将一些文件上传到 S3。我只是相信 Bucket Owner IAM 用户无法下载 CloudFront 创建的对象 - 它说访问被拒绝。一些潜在的解决方案可能是：有没有办法强制存储桶所有者能够下载所有文件 ...

AWS - Fargate 实例和其他 AWS 服务之间的 IAM 角色 - AWS - IAM Roles between Fargate instances and other AWS services

在这里，我有一个 Fargate 的任务定义，用于在内部启动微服务。这个微服务做什么并不重要。我的问题是关于以下两个属性：这里是 Fargate/Microservice 的 TaskDefinition，同样这里的微服务并不重要。这是 ECSTaskRole：因此，如果我正确理解 IAM ...

在不影响 Amazon Athena 的情况下阻止从 Amazon S3 下载文件 - Block files download from Amazon S3 without compromising Amazon Athena

我在下面创建了此策略以防止用户下载特定 Amazon S3 存储桶中的文件，但他们也无法在 Amazon Athena 中运行查询，出现“Permission denied on S3 path: ...”错误。一旦我删除了策略，他们就可以立即再次运行查询。另一方面，他们可以读取 EMR Not ...

JSON 语法错误：修复创建策略时的 JSON 语法错误 - JSON Syntax Error: Fix the JSON syntax error while creating policy

我正在学习 AWS 中的一个教程，并偶然发现了一个策略。但我收到 json 错误。它告诉我的不多，也不确定如何解决。我试图将它粘贴到 VS 代码中以获得想法，但 VS 代码抱怨Invalid escape character in string.json(261) ...

如何将两个 IAM 策略组合在一起 - how to combine two IAM policies together

我是 IAM 政策的新手。试图结合以下两项政策并制定一项政策。角色是AmazonEKSVPCCNIRole 以下是两项政策：和我只需要结合以上两项政策的单一政策。尝试合并时出现 JSON 错误。请帮助制定单一政策 ...

NotResource 中的通配符 - WildCard in NotResource

NotResource 只列出一些不应匹配的资源，而不是包括一长串将匹配的资源，从而导致更短的策略。 NotResource 中通配符的结果是什么？ ...

AWS 权限边界不适用于第二个用户 - AWS permission boundary won't apply to the secound user

我尝试对具有 IAM 操作完全权限的 user1 实施AWS Permission Boundary 。然后 user1 创建了另一个用户 (user2)。 user2 可以不受任何限制地执行任何操作。据我了解，user2 不应比 user1 拥有更多权限。有人有同样的问题吗？有人有任何样 ...

在 EKS 中运行时如何获取 AwsCredentials？ - How to get AwsCredentials when running in EKS?

我有 .net 应用程序在 Elastic Kube.netes 服务中运行。我如何获得AWSCredentials object 以后可以传递给 Api 调用？我在我应该使用的策略中看到受信任的实体包含以下代码： ...

尝试使用 terraform 创建 IAM 策略时出现语法错误但看不到它 - Trying to create an IAM policy with terraform getting a syntax error but cant see it

我正在使用多个data "aws_iam_policy_document"项目扩展高级用户角色： terraform plan的结果是结果是{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Ef ...

AWS 允许用户创建不创建其他策略的策略？ - AWS allow user to create policies that doesn't create other policies?

是否可以允许用户创建不包含任何 IAM 写入操作的策略，例如iam:CreatePolicy或iam:AttachPolicyRole ？我问的原因是我工作的公司只有一个人可以出于安全原因创建策略和角色。但这很快成为瓶颈，我们希望以安全的方式将创建角色和政策的责任转移给更多人。我能想到的一种 ...

如何从 AKS 集群访问 AWS s3 存储桶 - How to access an AWS s3 bucket from an AKS cluster

我有一些在 AKS 集群中运行的 Pod，它们试图访问 AWS s3 存储桶（由于当前的架构，使用 azure blob 不是一个选项）。我已阅读有关Kube.netes 服务帐户的 IAM 角色，但它提到了 EKS clsuter。这里有什么办法吗，我们可以在 AKS 中创建一个具有 IAM ...

使用访问策略访问加密的 SNS 主题 - Accessing an Encrypted SNS Topic with Access policy

我正在尝试让 CloudWatch 发送到我的 SNS 主题。主题已加密。但是我得到这个错误收到错误：“CloudWatch Alarms 无权访问 SNS 主题加密密钥。” 我已将 KMS 权限添加到与 SNS 主题关联的访问策略，但在尝试保存该策略时出现此错误错误代码：InvalidPara ...

aws IAM 角色无权执行：route53:ListHostedZones - aws IAM role is not authorized to perform: route53:ListHostedZones

当我尝试使用 gitlab runner 部署 terraform 脚本时，出现以下错误Error: Error finding Route 53 Hosted Zone: AccessDenied: User: arn:aws:sts::12345678:assumed-role/dev-run ...

如何获取运行特定 CLI 命令所需的 AWS 策略？ - How to get AWS policy needed to run a specific CLI command?

我是 AWS 的新手。我正在尝试将 OVA 导入 AMI 并将其用于 EC2 实例，如下所述：它要求您运行的命令之一是aws ec2 describe-import-image-tasks --import-task-ids import-ami-1234567890abcdef0 当我这样做 ...

AWS 根账户登录警报 - login Alert at AWS Root Account

我正在尝试创建一个策略，如果 AWS ROOT 帐户尝试登录，它应该向我发送警报。什么是最好的方法来做到这一点。谢谢 Malik Adeel Imtiaz ...

Windows10 AWS Athena IAM profile下使用DBeaver profile file cannot be null错误 - Profile file cannot be null error using DBeaver under Windows10 AWS Athena IAM profile

我在 GitHub 中检查了这个问题和这个线程。它适用于 Mac 但不适用于 Windows。而且我仍然收到错误。看起来 dbeaver 无权访问凭据文件。有任何想法吗？您可能会在下面看到我的设置： ...