标签[aws-iam-policy] - 堆栈内存溢出

对于 AWS CDK，我如何确定合适的 IAM 策略和权限来替换根账户？ - For the AWS CDK, how can I determine the appropriate IAM policy and permissions to replace a root account?

我正在为 aws 上的新堆栈设置 aws CDK，文档基本上说“使用 root 帐户启动，然后为新帐户设置策略”：但是，在尝试 cdk 部署时，使用他们推荐的 assume/* 策略几乎会立即导致错误。那么，确定对设置完整的 cloudformation 堆栈部署有用和适用的策略的机制是什么？ ...

如何使用 AWS STS AssumeRole session 策略隐藏特定文件夹？ - How to hide specific folder using AWS STS AssumeRole session policy?

我已经创建了 STS AssumeRole session 令牌，并将策略文档作为仅列表添加到特定文件夹，但是我们如何隐藏显示没有访问权限的剩余文件夹？示例：假设我有 AWS s3 object 路径s3://<bucketName>/folder1/{files…} & s ...

使用 IAM 策略限制对 AppConfig 上单个环境的访问 - Issue restraining access to a single environment on AppConfig using IAM Policy

一段时间以来，我试图在 AppConfig 下限制对特定环境的写访问，但它似乎不起作用。我在“开发”环境中被拒绝访问。我已经检查了 appconfig 的参考资料（ https://docs.aws.amazon.com/service-authorization/latest/referenc ...

DynamoDB 的动态 IAM 策略 - Dynamic IAM Policy for DynamoDB

我正在探索对我们正在构建的 API 的细粒度访问。 API 托管在带有 lambda 处理程序的 API 网关上，数据存储是 DynamoDB。我需要对查询应用行级和属性级限制，具体取决于调用 API 的用户。 DynamoDB 通过 Policies 支持水平（行）和垂直（属性）限制。这 ...

用户、组、角色、策略和 AWS 服务之间的关系是什么？ - What is the relation between user, group, role, policy and AWS services?

策略可以附加到用户或组。这控制了用户在 AWS 中能够做什么。策略可以附加到 AWS 服务吗？政策和AWS服务有什么关系？角色的概念在所有这一切中适合什么地方？ ...

多次导入 aws_iam_policy - importing aws_iam_policy multiple times

我创建了用于导入 iam 客户托管策略的资源存根，如下所示。使用的导入命令是：这第一次工作正常。但是如果我想让它动态化以导入任意数量的策略，我不知道该怎么做。因为“aws_iam_policy”资源将使用策略名称和策略数据/json 作为属性，对于它们，通过使用 for_each 或列表， ...

如何更新 IAM 角色的 IAM 策略以具有与 IP 相同的权限集？ - How to update the IAM policy that IAM role to have the same permission set the IPs have?

如何更新下面的 IAM 策略，使 IAM 角色arn:aws:iam::7574333677569:role/dev-abc-webserver也有权限？我面临的问题是 IAM 角色目前没有权限，我希望 IAM 角色具有与 IP 相同的权限集。我们不需要更改策略，我们需要扩展它已经授予对提供的 ...

在 lambda 函数的 IAM 策略条件下使用 aws:ResourceTag 不起作用 - Using aws:ResourceTag in conditions on an IAM policy for lambda functions does not work

我需要分配给开发人员的角色才能读取具有特定标签的 lambda 函数。为此，我在所有资源上分配了以下标签：标签价值团队开发人员、devops 等... 环境开发、STG、产品团队标签可以有多个团队，以空格分隔，因为多个团队可以拥有同一资源。示例 1： team: developers 示例 2 ...

Terraform 资源创建 aws_iam_policy 由于格式错误的策略文档而失败 - Terraform resource creation aws_iam_policy fails due to malformed policy document

我想为多个 ECR 存储库创建一个 AWS IAM 策略 Terraform 模块调用模块计划返回这个应用返回的错误消息：使用 AWS 控制台 GUI 创建策略工作正常。问题在于创建 ECR 回购权限的第一个语句。我尝试了对 terraform 代码的不同更改，取消/大写关键字，如 Ac ...

在 AWS IAM Role TrustEntity Relation 中写入多个 Principal AWS 的正确方法 - Correct way to write multiple Principal AWS in AWS IAM Role TrustEntity Relation

我是 AWS IAM 角色的新手。这里的场景是，我有一个用于 DynamoDB 读取访问的 IAM 角色 (DDBReadRole)（假设在帐户 P 中）。而我们在账户B，账户C中分别有2个lambda执行角色L1，L2。现在需要将这 2 个 lambda 执行角色添加到 DDBReadRol ...

Event-Bridge to SQS 的 AWS IAM 政策，拒绝 - AWS IAM policy for Event-Bridge to SQS with deny

我想限制我的 sqs 只接受事件桥接规则，低于 IAM 规则看起来正确且拒绝就位，但 sqs 没有收到消息，任何输入表示赞赏。由 Event-bridge 生成的允许 sqs 访问的看起来像这样 ...

IAM 策略只允许按组查看和编辑 EC2 实例 - IAM Policy to only allowing viewing and editing EC2 instances by group

我正在尝试使用策略创建一个 IAM 用户组，以便这些用户只能查看和编辑具有关联特定标签的 EC2 实例。但是，我能够创建 IAM 策略，当我以该组的 IAM 用户身份登录时，所有 EC2 实例都被列出（不希望这样）。我只希望显示可由该用户组中的 IAM 用户编辑的 EC2 实例组。以下是保单的 ...

AWS SFTP 传输系列 - Session 策略 - AWS SFTP Transfer Family - Session policies

我已经使用自定义 api 网关身份提供商设置了 AWS SFTP 服务器。用户在秘密管理器中创建为 SFTP/用户名，具有以下键、值对 - roleARN的策略如下：使用当前策略，我对特定用户具有正确的权限，并且权限/访问按预期工作，但问题是策略中的硬编码用户。我现在必须在 Secrets ...

添加条件块时 IAM 策略不起作用 - IAM Policy not working when condition block is added

我遇到了一个关于 IAM 策略的奇怪问题，我想限制 RDS 对不同环境的特定 IAM 角色的访问，在我添加条件之前，该策略可以正常工作！！ RDS服务截图但是，当我删除条件时，该策略就可以正常工作。您可以在此处从官方 AWS 文档中查看 AWS 服务的条件键： https://docs.aws. ...

使用 Cloudformation (Condition) 删除仅具有特定标签的 AWS IAM 用户 - Delete AWS IAM user that has a certain tag only, using Cloudformation (Condition)

我正在尝试允许某个组（OperationsAdmin 组）中的 IAM 用户（OperationsAdmin）能够删除具有某个标签（指定管理员创建用户的标签）的用户。这是否可以在 Cloudformation 中完成？我已经尝试过了，但它不起作用。其他管理员组中的其他管理员用户可以删除他们不应 ...

如何使用来自变量的 JSON 格式的信任策略字符串创建 AWS IAM 角色 - How to create an AWS IAM role with JSON formatted trust policy string from a variable

我正在尝试创建一个 AWS IAM 角色，从 JSON 格式的字符串而不是 JSON 文件提供承担角色信任策略。更具体地说，在aws iam create-role命令中，当我使用选项--assume-role-policy-document file://iam_role_trust_polic ...

仅允许一个 SSO 用户访问资源的 AWS 策略 - AWS Policy that allows only one SSO user to access a resource

我们正在将所有 IAM 用户转移到我们曾经为 sagemaker 拥有此 IAM 策略的 aws SSO：这将使每个用户现在可以在新的 SSO 权限集上使用他\她自己的笔记本在 sagemaker 中，我给了这个：这是我试过的，但我不能让它工作请帮忙？我也使用属性和许多其他东西，但如果 ...

使用 IAM 结果密码错误连接到 RDS - Connect to RDS using IAM result password error

您好，我在 AWS 上创建了一个 RDS，并基于此链接创建了一个具有此权限的策略我有一个使用特定密码定义的普通用户我尝试使用用户登录，但我尝试在本指南中设置身份验证令牌链接而不是密码我在我的情况下使用 postgresql 并导致此错误我的根用户应该支持 IAM，我可以验证什么来 ...

如何创建除管理员外具有完全访问权限的 IAM 用户 - How to create an IAM user with full access except for admin

我想将一个 IAM 用户添加到 AWS，除了能够查看账单和关闭账户或更改他们不需要的任何信息之外，根用户拥有的所有权限策略除外。我应该向这个将添加 IAM 用户的新组添加哪些策略？ ...

AWS IAM 角色中用于授予 Lambda 函数权限的变量 - Variable in AWS IAM role to grant permissions to Lambda function

我试图弄清楚是否可以设计一个 AWS IAM 角色，该角色将根据调用资源的名称动态授予资源权限。例如，我目前有一个角色授予 Lambda 函数创建和写入 CloudWatch 日志的权限，如下所示：我想知道是否有一种方法可以使用一些${aws:NameOfTheLambdaFunction} ...