我正在为 aws 上的新堆栈设置 aws CDK,文档基本上说“使用 root 帐户启动,然后为新帐户设置策略”: 但是,在尝试 cdk 部署时,使用他们推荐的 assume/* 策略几乎会立即导致错误。 那么,确定对设置完整的 cloudformation 堆栈部署有用和适用的策略的机制是什么? ...
我正在为 aws 上的新堆栈设置 aws CDK,文档基本上说“使用 root 帐户启动,然后为新帐户设置策略”: 但是,在尝试 cdk 部署时,使用他们推荐的 assume/* 策略几乎会立即导致错误。 那么,确定对设置完整的 cloudformation 堆栈部署有用和适用的策略的机制是什么? ...
我已经创建了 STS AssumeRole session 令牌,并将策略文档作为仅列表添加到特定文件夹,但是我们如何隐藏显示没有访问权限的剩余文件夹? 示例:假设我有 AWS s3 object 路径s3://<bucketName>/folder1/{files…} & s ...
一段时间以来,我试图在 AppConfig 下限制对特定环境的写访问,但它似乎不起作用。 我在“开发”环境中被拒绝访问。 我已经检查了 appconfig 的参考资料( https://docs.aws.amazon.com/service-authorization/latest/referenc ...
我正在探索对我们正在构建的 API 的细粒度访问。 API 托管在带有 lambda 处理程序的 API 网关上,数据存储是 DynamoDB。 我需要对查询应用行级和属性级限制,具体取决于调用 API 的用户。 DynamoDB 通过 Policies 支持水平(行)和垂直(属性)限制。 这 ...
策略可以附加到用户或组。 这控制了用户在 AWS 中能够做什么。 策略可以附加到 AWS 服务吗? 政策和AWS服务有什么关系? 角色的概念在所有这一切中适合什么地方? ...
我创建了用于导入 iam 客户托管策略的资源存根,如下所示。 使用的导入命令是: 这第一次工作正常。 但是如果我想让它动态化以导入任意数量的策略,我不知道该怎么做。 因为“aws_iam_policy”资源将使用策略名称和策略数据/json 作为属性,对于它们,通过使用 for_each 或列表, ...
如何更新下面的 IAM 策略,使 IAM 角色arn:aws:iam::7574333677569:role/dev-abc-webserver也有权限? 我面临的问题是 IAM 角色目前没有权限,我希望 IAM 角色具有与 IP 相同的权限集。 我们不需要更改策略,我们需要扩展它已经授予对提供的 ...
我需要分配给开发人员的角色才能读取具有特定标签的 lambda 函数。 为此,我在所有资源上分配了以下标签: 标签价值团队开发人员、devops 等... 环境开发、STG、产品团队标签可以有多个团队,以空格分隔,因为多个团队可以拥有同一资源。 示例 1: team: developers 示例 2 ...
我想为多个 ECR 存储库创建一个 AWS IAM 策略 Terraform 模块调用 模块 计划返回这个 应用返回的错误消息: 使用 AWS 控制台 GUI 创建策略工作正常。 问题在于创建 ECR 回购权限的第一个语句。 我尝试了对 terraform 代码的不同更改,取消/大写关键字,如 Ac ...
我是 AWS IAM 角色的新手。 这里的场景是,我有一个用于 DynamoDB 读取访问的 IAM 角色 (DDBReadRole)(假设在帐户 P 中)。 而我们在账户B,账户C中分别有2个lambda执行角色L1,L2。 现在需要将这 2 个 lambda 执行角色添加到 DDBReadRol ...
我想限制我的 sqs 只接受事件桥接规则,低于 IAM 规则看起来正确且拒绝就位,但 sqs 没有收到消息,任何输入表示赞赏。 由 Event-bridge 生成的允许 sqs 访问的看起来像这样 ...
我正在尝试使用策略创建一个 IAM 用户组,以便这些用户只能查看和编辑具有关联特定标签的 EC2 实例。 但是,我能够创建 IAM 策略,当我以该组的 IAM 用户身份登录时,所有 EC2 实例都被列出(不希望这样)。 我只希望显示可由该用户组中的 IAM 用户编辑的 EC2 实例组。 以下是保单的 ...
我已经使用自定义 api 网关身份提供商设置了 AWS SFTP 服务器。 用户在秘密管理器中创建为 SFTP/用户名,具有以下键、值对 - roleARN的策略如下: 使用当前策略,我对特定用户具有正确的权限,并且权限/访问按预期工作,但问题是策略中的硬编码用户。 我现在必须在 Secrets ...
我遇到了一个关于 IAM 策略的奇怪问题,我想限制 RDS 对不同环境的特定 IAM 角色的访问,在我添加条件之前,该策略可以正常工作!! RDS服务截图但是,当我删除条件时,该策略就可以正常工作。 您可以在此处从官方 AWS 文档中查看 AWS 服务的条件键: https://docs.aws. ...
我正在尝试允许某个组(OperationsAdmin 组)中的 IAM 用户(OperationsAdmin)能够删除具有某个标签(指定管理员创建用户的标签)的用户。 这是否可以在 Cloudformation 中完成? 我已经尝试过了,但它不起作用。 其他管理员组中的其他管理员用户可以删除他们不应 ...
我正在尝试创建一个 AWS IAM 角色,从 JSON 格式的字符串而不是 JSON 文件提供承担角色信任策略。 更具体地说,在aws iam create-role命令中,当我使用选项--assume-role-policy-document file://iam_role_trust_polic ...
我们正在将所有 IAM 用户转移到我们曾经为 sagemaker 拥有此 IAM 策略的 aws SSO: 这将使每个用户现在可以在新的 SSO 权限集上使用他\她自己的笔记本在 sagemaker 中,我给了这个: 这是我试过的,但我不能让它工作请帮忙? 我也使用属性和许多其他东西,但如果 ...
您好,我在 AWS 上创建了一个 RDS,并基于此链接创建了一个具有此权限的策略 我有一个使用特定密码定义的普通用户 我尝试使用用户登录,但我尝试在本指南中设置身份验证令牌链接而不是密码 我在我的情况下使用 postgresql 并导致此错误 我的根用户应该支持 IAM,我可以验证什么来 ...
我想将一个 IAM 用户添加到 AWS,除了能够查看账单和关闭账户或更改他们不需要的任何信息之外,根用户拥有的所有权限策略除外。 我应该向这个将添加 IAM 用户的新组添加哪些策略? ...
我试图弄清楚是否可以设计一个 AWS IAM 角色,该角色将根据调用资源的名称动态授予资源权限。 例如,我目前有一个角色授予 Lambda 函数创建和写入 CloudWatch 日志的权限,如下所示: 我想知道是否有一种方法可以使用一些${aws:NameOfTheLambdaFunction} ...