使用Amazon Cognito访问AWS Iot时出现禁忌异常
我正在创建一个使用Amazon Cognito身份验证连接到AWS IoT的Android应用程序.我能够成功地验证用户,并且能够获得凭据. 使用这些凭据更新事物时,总是返回403 Forbidden例外.我已经尝试了所有方法来解决问题,但没有找到解决方案. 我的IAM政策是: { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:GetThingShadow", "iot:UpdateThingShadow", ], "Resource": [ "arn:aws:iot:us-west-2::thing/mythingname
4 2024-02-06
编程技术问答社区
AmazonServiceException。User is not authorized to perform: dynamodb:DescribeTable 状态代码。400; 错误代码。AccessDeniedException
我最初以为这个问题是由于区域不匹配,但是在更改区域后,尝试在此处尝试的Amazon AWS示例时,我仍然遇到以下错误: dynamedodbmapper AmazonServiceException: User: arn:aws:sts::[My Account ARN]:assumed-role/Cognito_AndroidAppUnauth_DefaultRole/ProviderSession is not authorized to perform: dynamodb:DescribeTable on resource: arn:aws:dynamodb:us-east-1:[My Account ARN]:table/test_table (Service: AmazonDynamoDBv2; Status Code: 400; Error Code: AccessDeniedException; Request ID: BBFTS0Q8UHTMG120I
4 2024-02-02
编程技术问答社区
AWS CloudFormation一次定义策略,与多个角色相关联
在AWS CloudFront中,我使用我看到有一个单独的 AWS::IAM::Role Policy AWS::IAM::Role Policy AWS::IAM::Role Policy AWS::IAM::Role Policy/a>文档,说我可以在不给其整个策略文档内联的情况下引用政策. AWS::IAM::Policy似乎还表明需要组,角色或用户.因此,与其引用角色的政策,我希望定义角色,然后单独创建一个参考现有角色的策略,而不是从角色本身中引用共同的政策?这似乎很有限. 我宁愿定义一个策略,然后根据需要从角色中引用它,但这有可能吗?还是我必须全力以赴,创建 AWS::IAM::ManagedPolicy 为此? 解决方案 这实际上有一个简单的答案.假设我定义了一个允许我的ECS服务访问我的数据库表的角色.看起来像这样: EcsServiceTaskRole: Type: AWS::IAM::Role Properties:
0 2024-01-26
编程技术问答社区
通过Terraform创建IAM用户,并上传秘密密钥和访问S3存储键
我已经编写了Terraform代码来创建IAM用户,我的要求是将访问密钥和秘密密钥存储在S3存储桶中.我尝试通过S3 CLI命令实施相同的操作,但没有很大的帮助.任何建议都将不胜感激 解决方案 我想指出的是,如果未正确配置,将代币存储在S3中可能很危险. 确保您了解了AWS中的策略和S3中的访问控制方式!. userguide/access.html 以此为止,这就是我提出的: # The user to which we will grant access to s3 resource "aws_iam_user" "user" { name = "s3-user" path = "/" } # Create the access key resource "aws_iam_access_key" "key" { user = aws_iam_user.user.name } # Create the buc
0 2024-01-26
编程技术问答社区
如何循环浏览地图列表以获取值并添加到IAM策略Terraform
我有一个地图列表对象,我希望能够通过每个IAM组进行结合,以便能够获取IAM用户ARN并将其作为我的IAM策略的一部分.到目前为止,我有以下内容: 变量.tf variable "iam_user_groups" { type = map(list(string)) description = "iam user groups which consist of iam users" } tfvars iam_user_groups = { all-users = [ "list of arn will be placed here", "list of arn will be placed here", "list of arn will be placed here", ], finance-users = [ "list of arn will be placed here", "lis
0 2024-01-26
编程技术问答社区
例如,从两个不同的账户读取s3桶策略
我有一个实例,需要从两个不同的帐户s3读取数据. dataAccount中的存储桶带有存储桶名称" dataaccountlogs " userAccount中的存储桶带有存储桶名称" userlogs " 我都可以访问这两个帐户,因此现在我需要配置存储键策略以允许实例从桶中读取S3数据 dataaccountlogs 和 userLogs ,我的实例是运行用户account . 我需要从命令行访问这两个水桶以及使用 spark job . 解决方案 您将需要在用户量表中扮演角色,Rolea说,它将用于访问上述存储桶.角色应具有所需S3操作的权限. 然后,您将能够为每个存储桶配置一个存储措施策略: 对于 dataAccount : { "Version": "2012-10-17", "Id": "Policy1", "Statement": [ { "Sid": "test1", "E
0 2024-01-26
编程技术问答社区
了解IAM政策
我最近遇到了一个问题使用代码构建时,IAM策略.我试图了解以下两个策略之间的区别,并检查使用版本2在版本1上是否有任何安全性含义. 版本1不起作用,所以我决定使用版本2.但是版本2为什么工作,为什么版本1不起作用? 版本1仅允许访问CodePipeline资源,并允许读写到S3桶对象. 但是,版本2可以访问所有S3存储桶,不是吗?这将被视为安全漏洞吗? 版本1 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": [ "arn:aws:logs:ap-southeast-1:682905754632:log-group:/aws/codebuild/Backend-API-Build", "arn:aws:logs:ap-
0 2024-01-26
编程技术问答社区
AWS STS列出水桶时给出的访问被拒绝了
我有一个带有空桶策略的存储桶,打开公共访问(ACL和存储桶),并尝试使用使用STS假设与以下附件策略相关的IAM策略来列出与用户的iam策略. { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject", "s3:GetBucket*", "s3:ListBucket*", "s3:ListAllMyBuckets" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::my-test-bucket/*" ] } ] }
0 2024-01-26
编程技术问答社区
为IAM角色的动作定义两个声明
有可能在IAM角色中对同一动作有两个陈述? 对于不同的动作,它可以正常工作,但是在为相同动作创建新的语句时,它不起作用. 示例: IamDeploymentRole: Type: "AWS::IAM::Role" Properties: RoleName: "iam-deployment" AssumeRolePolicyDocument: Version: "2012-10-17" Statement: - Effect: "Allow" Principal: AWS: - !Sub "arn:aws:iam::${ManagementAccountID}:root" Action: - "sts:AssumeRole"
0 2024-01-26
编程技术问答社区
只允许启动/开始/停止/终止某个特定实例类型的EC2实例
在启动 on按需 aws的实例时,我会收到以下错误: 调用RunInstances操作时发生错误(未经授权的操作):您无权执行此操作. 带有一些编码的授权故障消息. ,但是我无法从响应中复制实际问题,因为解码的JSON消息具有一个空的故障对象,尽管我能够从同一IAM策略中启动 spot-nastance . "allowed": false, "explicitDeny": false, "matchedStatements": { "items": [] }, "failures": { "items": [] }, "context": { "principal": { "id": "XXXXXXXXXXXXXXXXXXXX", "name": "user_name", "arn": "arn:aws:iam::account_id:user/user_name" },
8 2024-01-26
编程技术问答社区
如何在AWS中验证docker客户端命令?
以下身份验证可以使用证书(客户端和服务器),使用与Docker Daemon交谈的任何人类用户: 但是,詹金斯管道还运行Docker命令与Docker Daemon交谈. 如何验证詹金斯管道以运行特定的docker命令?该管道在AWS EC2中的Jenkins Slave容器中启动的何处. 解决方案 您可以从Jenkins脚本运行Docker登录名,并将秘密存储在Jenkins Config中.作为构建过程的一部分,您也可以在计算机上预先安装凭据.如果您谈论的是与守护程序交谈的权限,则必须给Jenkins用户适当的权限(通常将其添加到Docker Group" )
2 2024-01-26
编程技术问答社区
为了部署EB应用程序,AWS IAM用户应该拥有哪些策略模板?
为了部署和维护EB应用程序(例如,来自客户端计算机的网站代码),AWS IAM用户应该拥有哪些策略模板? Iamreadonlyaccess和PoweruserAccess似乎足够了,但我想知道后者是否过大.我可以将策略限制为单个EB实例或应用程序吗? 解决方案 在Web控制台中创建IAM角色时,会有一个预定义的角色,称为ElasticBeanstalkFullAccess.这将使您完全允许Elastic Beanstalk所需的所有基础资源.您可以看到一般文档. 限制到特定环境或应用程序要困难得多,但可行.它要求您使用ARN将用户限制为特定资源,包括所有基础资源及其ARN. 请参阅此处的文档. 供参考,完整的Elastic Beanstalk策略看起来像这样: { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [
0 2024-01-26
编程技术问答社区
如何将政策分配给临时用户?
背景: 使用跨帐户角色someaccountrole,我可以访问AWS帐户xyz. 案例1 要创建帐户中的堆栈xyz,我们通过控制台上传云形式文件. 在Events选项卡中的堆栈创建中,我们看到了第一个事件,如下所示: 案例2 我们在xyz帐户中创建EC2实例. 使用 sam部署,其中sam deploy是aws cloudformation deploy的包装器,我们从EC2命令下运行,用于堆栈创建: aws cloudformation deploy --template-file cfntemplate.yml --stack-name somestack-test --region us-east-1 在堆栈创建中,我们看到创建的类似事件(如下所示): 在情况2中,用户是:arn:aws:sts::${AccountId}:assumed-role/Autodeploy/i-0000000cc4,我们创建了Autodep
0 2024-01-26
编程技术问答社区
限制AWS ElasticSearch对一个自动扩展组的访问
我有一个自动化小组,必须访问AWS Elasticsearch服务, 但是,如您所知,在这种情况下,使用IP地址作为访问策略将不起作用(每次IP更改). 我想知道是否有一种使用IAM角色或安全组来限制对自动缩放组的访问的方法. 如果有你可以给我一个例子吗? 预先感谢您 解决方案 您指定哪些IAM用户或角色应该可以访问您的 领域.必须通过AWS签名签署所有向域的请求 版本4签名.当请求到达域时,将转发 到IAM进行签名验证和访问控制. 类似: 的策略 { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/susan" }, "Action": "es:*", "
2 2024-01-26
编程技术问答社区
附带IAM角色的EC2实例的访问被拒绝
我有以下IAM角色: Amazonec2fullaccess 定制 - 政策 在我的自定义策略中,我有: { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": "10.0.0.0/16" } } } ] } 然后我创建一个新的EC2实例并将此角色附加到它. 在EC2实例中我尝试做: aws iam list-roles 但是我得到了这个错误: 调用Listro
2 2024-01-26
编程技术问答社区
用boto通过相关的IAM角色过滤ec2实例
我有一些与同一IAM角色相关的AWS实例.我想编写一个返回这些实例的代码. 基于此文档: http://docs.aws.aws.amazon.com/awsec2/最新/apireference/api_describeinstances.html ,我看到有一个可用的过滤器iam-instance-profile.arn.我只是不确定如何使用它或是否应该使用它. 这是一个实例被标签过滤的示例. conn = boto.ec2.connect_to_region('ap-southeast-1') reservations = conn.get_all_instances(filters={"tag:Name": "my-instance-1"}); for reservation in reservations: instance = reservation.instances[0] 我想做类似的事情,除了具有过滤器的IAM角色. 另一件事 - 上
2 2024-01-26
编程技术问答社区
亚马逊AWS。带有TVM的IAM
我正在开发iOS应用程序.我想设置用户身份验证.即用户提供用户名和密码,并通过TVM进行身份验证.用户对AWS资源的访问是根据其凭据进行调节的. 我该如何设置? iam带有TVM足以设置用户名/密码身份验证吗? 我需要像Sighly或Stormpath这样的第三方身份验证提供商吗? 我希望用户获得身份验证并接收一个"配置文件",其中可能包括名称,lastname等.设置此设置的最佳方法是什么? 解决方案 AWS网站确实包含渐进性指令示例身份TVM.我们还创建了一个 cloud cloud cloud formplate模板用于简化部署.重要的是要注意,这只是一个例子,可以并且应该被定制以满足您的需求. 示例TVM不需要外部AUTH,但是您可以肯定地说,如果您认为这是您的用例所必需的. 您可以更新示例tvm以存储此信息,源代码为 github上可用. 您还可以考虑使用
0 2024-01-26
编程技术问答社区
如何用新的IAM用户登录
我无法使用具有控制台访问的新的IAM用户登录: 我已经下载了凭据,并且在尝试使用给定的控制台URL(https://My_AWS_Account_ID.signin.aws.amazon.com/console/)登录时,我会收到以下错误: 您的身份验证信息不正确.请重试. 这是用户的策略摘要: { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": "my-s3-arn" } ] } 我试图管理和更改此用户的密码并再次登录,但出现同样的错误: 任何想法如何登录或故障删除问题? 解决方案 我相信该用户没有访问AWS控制台的权限,而创建用户则需要选择 aws管理控制台访问的访问类型,该类型将提供用户名并选择您可以直接决定控制台的自定义密码,还可以提供以下用于测试的权限. { "Version": "201
0 2024-01-26
编程技术问答社区
list_object在与AWS Lambda的跨账户中不起作用
我正在尝试使用AWS Lambda&Python从另一个帐户中的S3路径下载文件.如果我提供了copy_object的完整键,我可以下载文件.由于没有通知,因此我计划使用通配符检查文件是否存在文件.但是我被拒绝了(调用ListObject操作时发生错误(访问)时发生错误:访问被拒绝)错误,同时尝试列出该存储桶的内容,即使我添加了&列表权限. 我有以下政策添加到我的Lambda角色中. { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::/", "arn:a
2 2024-01-26
编程技术问答社区