标签[aws-policies] - 堆栈内存溢出

了解特定场景的 AWS 缓存键 - Understanding AWS cache key for specific scenario

想象一下以下场景：一位客户正在使用 AWS CloudFront 并为一个预期且通常不会收到任何查询字符串的站点提供服务。整个站点基本上是 static，CDN 纯粹通过缓存和分发内容来提高性能。有时，我们作为客户的解决方案提供商，希望刷新客户站点上的任何页面 (JavaScript)，并在该 ...

aws IAM 角色无权执行：route53:ListHostedZones - aws IAM role is not authorized to perform: route53:ListHostedZones

当我尝试使用 gitlab runner 部署 terraform 脚本时，出现以下错误Error: Error finding Route 53 Hosted Zone: AccessDenied: User: arn:aws:sts::12345678:assumed-role/dev-run ...

AWS 根账户登录警报 - login Alert at AWS Root Account

我正在尝试创建一个策略，如果 AWS ROOT 帐户尝试登录，它应该向我发送警报。什么是最好的方法来做到这一点。谢谢 Malik Adeel Imtiaz ...

两个相互矛盾的 aws 政策？ - Two contardicting aws policies?

我有一个关于 AWS IAM 策略的理论问题。当两个政策相互矛盾时会发生什么？一个允许使用资源，另一个拒绝资源？谢谢，奥马尔 ...

对于 AWS s3，如何动态限制 IP 地址并在 24 小时后释放它们？ - How can I restrict IP addresses dynamically and release them after 24hrs for AWS s3?

我想将 IP 地址限制几个小时（比如 24 小时），以供那些查询我的 AWS s3 存储桶（公共只读）超过 100 次/秒的人使用。因为它们可能是垃圾邮件，并且想通过增加流量和提高我的 AWS 成本来损害我的业务。到目前为止，我还没有找到任何执行此操作的策略示例。如何动态限制这些类型的 IP ...

AWS 政策拒绝访问所有生产资源 - AWS Policy deny access on all production resources

在我们的团队中，我们的生产和开发堆栈都在同一个 AWS 账户中。这些堆栈通过它们的资源名称来区分。例如，我们有一个 S3 存储桶example-dev-bucket和example-prod-bucket 。因此，所有这些资源也可以通过它们的 arn 来区分，例如arn:aws:s3:::ex ...

如何设置 Dev Test Prod AWS ENVs same Organization - How to setup Dev Test Prod AWS ENVs same Organization

我正在使用 IAM 角色在 AWS 环境之间切换。我有 3 个与 3 个环境匹配的假定角色：Dev、Test、Prod。这些假定的角色具有相同的权限，例如 EC2、S3、... 那么我如何限制信任开发、测试角色的用户不能通过 IAM 策略接触 Prod 角色？我尝试使用服务的标签来限制。这 ...

如何为特定 AWS 账户运行 CloudFormation - How to run CloudFormation for a specific AWS Account

我正在尝试为自定义管理的策略创建一个 CloudFormation 模板，每当我运行该模板时，它都会在我指定的帐户中创建该策略。例如，我有 10 个 AWS 账户，我想在我们的主账户中创建一个模板，您只需在其中输入账户 ID 和 JSON，CloudFormation 就会为您创建模板。这是我 ...

仅允许小写文件的 AWS S3 存储桶策略 - AWS S3 Bucket Policy to allow only lowercase files

是否可以将 s3 存储桶限制为仅小写文件/目录？一些下游系统不区分大小写，所以我想防止出现任何问题。有一个 Lambda 解决方法，但是否可以将此要求指定为存储桶策略？{ "Version": "2012-10-17", "Statement": [ { ...

AWS S3 存储桶策略应拒绝来自 ec2 的操作 - AWS S3 bucket policy should deny actions from ec2

我正在尝试使用策略存储桶拒绝从 ec2 实例（其中包含 SSH）上传到 s3 存储桶。我的 ec2 使用以下命令从 CLI 上传文件： "aws s3 cp text.txt s3://bucket-name" 。 json 中的存储桶策略如下：任何想法为什么这不能拒绝我的 ec2 实例上传到 ...

有没有办法通过 Java SDK 更新 SNS 主题策略？ - Is there any way to update SNS Topic policy through Java SDK?

我的 AWS 账户中确实有一个 SNS 主题，它是通过 Java SDK 创建的，因此附加的策略是默认策略。有什么方法可以通过 java SDK 本身更新策略？ ...

数据类型不匹配且策略必须有效 JSON 且第一个字节必须为“{” - Data Type Mismatch and Policies must be valid JSON and the first byte must be '{'

我需要为我的 S3 存储桶制定 CORS 策略。在控制台中，它说策略必须是有效的 JSON。我复制并粘贴了他们的示例，并立即出错，说明它们的格式不正确。这基本上是我正在尝试的：显然出了点问题： ...

在新 EC2 中运行用户数据时缺少 AWS 凭证 - AWS credentials missing when running userdata in a new EC2

使用 terraform 脚本，我创建了一个新的 EC2，添加了访问 S3 存储桶的策略，并提供了一个运行aws s3 cp s3://bucket-name/file-name. 从该 S3 存储桶中复制文件，以及其他命令。在/var/log/cloud-init-output.log我看到fa ...

SageMaker：调用 CreateModel 时出现 AccessDeniedException ClientError - SageMaker: AccessDeniedException ClientError when calling CreateModel

ClientError：调用 CreateModel 操作时发生错误 (AccessDeniedException)：用户：arn:aws:sts::0123456789:assumed-role/sagemakeraccesstoservices/SageMaker 无权执行：sagemake ...

AWS IAM 策略是否需要“互惠”？ - Do AWS IAM policies need to be "reciprocal"?

是否需要在关系的双方都制定政策？例如，假设我有一个 Lambda，其策略允许帐户中的每个委托人调用它。如果我创建一个需要调用 Lambda 的 API 网关，我是否需要创建一个策略来授予 API GW 显式权限来执行此操作？还是 Lambda 的策略固有地允许 API 网关调用它？谢谢 ...

aws terraform 策略返回“格式错误”，尽管它看起来正确 - aws terraform policy returns 'malformed' although it looks right

我正在按照 AWS 的这些说明尝试将访问日志添加到我的应用程序负载均衡器。正是Bucket permissions中描述的策略 -> To prepare an Amazon S3 bucket for access logging -> 第 5 点不幸的是，当我添加策略时，它返回“M ...

在没有拉取请求的情况下限制推送操作 - Restrict push action without pull request

有什么方法可以制定不允许用户直接将代码推送到分支的 IAM 策略？他们应该只通过拉取请求来做到这一点。 ...

具有多种委托人类型和条件的 AWS 可信实体 - AWS trusted entity with multiple principal types and condition

我有一个 Terraform 代码，它生成一个这样的受信任实体，该实体附加到一个角色以进行跨账户访问：如果我打算允许具有 externalId 的 AWS 账户担任该角色，并且我还希望 AWS 备份服务采用该角色，那么生成的资源策略是否正确？我不知道策略引擎是否会选择条件并尝试将其应用于帐户和服 ...

基于文件名和扩展名的 S3 存储桶上传限制 - S3 Bucket upload restriction based on file name and extension

请检查此 JSON 代码并告诉我有什么问题？所有文件都被拒绝。我需要用户可以在控制台中上传某些类型的文件的代码。 } 还需要根据文件名限制上传的建议，例如：文件名以 Sales_*.gz 开头，这应该允许所有文件名为 Sales_14072022.gz 等的文件谢谢 ...

AWS SCP ，为 EC2 强制标记并允许特定的 AWS Backup 服务角色进行还原 - AWS SCP , enforce tagging for EC2 and allow specific AWS Backup service role to restore

我有一个标签强制 scp，它拒绝在没有CodeDomaine标签的情况下创建 ec2，AWS Backup 服务除外：我想允许 AWS 备份服务在需要时恢复，但我收到此错误： } 我尝试了许多解决方案来调整 SCP 条件，但没有办法！谢谢 ...