คำถามติดแท็ก amazon-iam

IAM คือบริการจัดการข้อมูลประจำตัวและการเข้าถึงของ Amazon Web Services

9
เป็นไปได้หรือไม่ที่จะ จำกัด ผู้ใช้ / บัญชี AWS ในบางพื้นที่
เราให้บริการ AWS จำนวนมากในภูมิภาค eu-west-1 น่าเสียดายที่นักพัฒนาของเราและพนักงานคนอื่น ๆ ที่ต้องการสร้างทรัพยากรชั่วคราวลืมเกี่ยวกับแง่มุมของ AWS นี้และไม่เลือกภูมิภาคนี้ก่อนเปิดตัวอินสแตนซ์ EC2 การสร้าง S3 ถัง ฯลฯ ดังนั้นพวกเขามักจะจบลงด้วย ภูมิภาค us-east-1 ตั้งแต่ที่ดูเหมือนจะเป็นค่าเริ่มต้นที่ AWS ใช้เสมอ มีวิธีใดบ้างในการใช้ IAM (หรือวิธีอื่น ๆ ) ในการ จำกัด บัญชีผู้ใช้เพื่อเปิด / สร้างสิ่งต่าง ๆ ภายในพื้นที่เฉพาะหรือไม่?

6
คุณต้องการ MFA สำหรับบัญชี AWS IAM ได้หรือไม่?
เป็นไปได้หรือไม่ที่จะต้องเปิดใช้งานการรับรองความถูกต้องด้วยหลายปัจจัย (MFA) สำหรับบัญชี IAM เฉพาะ / ทั้งหมดใน Amazon Web Services มีตัวเลือกสำหรับข้อกำหนดของรหัสผ่านและเป็นที่ชัดเจนว่าสามารถเลือกเพิ่มลงในบัญชีของตนได้อย่างไร แต่ก็ไม่ชัดเจนหากมีตัวเลือกในการบังคับให้ผู้ใช้มี MFA

2
จะระบุบทบาท IAM สำหรับอินสแตนซ์ Amazon EC2 ที่เปิดตัวผ่าน AWS CLI ได้อย่างไร
ฉันใช้คำสั่ง "aws ec2 run-instance" (จากAWS Command Line Interface (CLI) ) เพื่อเปิดใช้งานอินสแตนซ์Amazon EC2 ฉันต้องการตั้งค่าบทบาท IAM สำหรับอินสแตนซ์ EC2 ที่ฉันเปิดตัว บทบาท IAM ได้รับการกำหนดค่าและฉันสามารถใช้งานได้สำเร็จเมื่อเปิดตัวอินสแตนซ์จาก AWS web UI แต่เมื่อฉันพยายามทำสิ่งนี้โดยใช้คำสั่งนั้นและตัวเลือก "--iam-instance-profile" มันล้มเหลว การทำ "aws ec2 run-instance help" แสดง Arn = และ Name = ฟิลด์ย่อยสำหรับค่า เมื่อฉันพยายามค้นหา Arn โดยใช้ "aws iam list-instance-profiles" มันให้ข้อความแสดงข้อผิดพลาดนี้: เกิดข้อผิดพลาดของไคลเอ็นต์ (AccessDenied): ผู้ใช้: arn: aws: …

1
จะให้ผู้ใช้อัพโหลดไฟล์ไปที่ถัง S3 แต่ไม่เขียนทับหรือลบได้อย่างไร
ฉันมีนโยบาย IAM ต่อไปนี้สำหรับผู้ใช้ { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1395161912000", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:PutObject", "s3:*" ], "Resource": [ "arn:aws:s3:::bucketname" ] }, { "Sid": "list", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": [ "arn:aws:s3:::*" ] } ] } เป้าหมายคือเพื่อให้ผู้ใช้อัปโหลดไฟล์ไปยังที่ฝากข้อมูล แต่ไม่เขียนทับหรือลบ มันสำหรับการสำรองข้อมูล ฉันเริ่มต้นด้วยListBucketและPutObjectแต่เพิ่ม*เมื่อมันไม่ทำงาน ไม่ได้ช่วยให้ผู้ใช้อัปโหลดไฟล์เพียงแค่ได้รับ*Access Denied เมื่อฉันลองใช้ Simulator มันจะกลับDenied - …

4
ใช้ IAM เพื่ออนุญาตให้ผู้ใช้แก้ไขกลุ่มความปลอดภัย AWS / EC2 หรือไม่
ฉันกำลังพยายามให้ความสามารถแก่กลุ่ม IAM ในการแก้ไขกลุ่มความปลอดภัย EC2 ของเรา แต่ฉันไม่สามารถทำงานนี้ได้โดยไม่ได้รับอนุญาตให้เข้าถึงทุกอย่างใน EC2 ฉันได้ลองแล้วหลายรุ่น: { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1392336685000", "Effect": "Allow", "Action": [ "ec2:*" ], "Resource": [ "arn:aws:ec2:us-east-1:<MYACCOUNTHERE>:security-group/*" ] } ] } แต่เมื่อฉันเข้าสู่ระบบด้วยผู้ใช้ IAM ฉันจะได้รับข้อความในหน้า Security Group ว่า "คุณไม่ได้รับอนุญาตให้ดำเนินการนี้" ฉันรู้ว่าผู้ใช้ / กลุ่มทำงานได้เพราะถ้าฉันเลือกเทมเพลตนโยบาย IAM สำหรับ "การเข้าถึงแบบเต็มของ Amazon EC2" ผู้ใช้สามารถเข้าถึงทุกอย่างใน EC2 เห็นได้ชัดว่าฉันไม่ได้มีประสบการณ์มากมายกับ IAM ความช่วยเหลือใด ๆ …

3
Amazon Route 53 จำกัด การเข้าถึงของผู้ใช้ IAM สำหรับชุดระเบียนเดียว
ฉันต้องการเปลี่ยน CNAME ของ Record Set โดยทางโปรแกรมภายใน Hosted Zone ใน Amazon Route 53 แต่ฉันต้องการ จำกัด การเข้าถึงของผู้ใช้เฉพาะกับชุดระเบียนนั้น สำหรับสิ่งที่ฉันเห็นในเอกสาร IAM อนุญาตให้ระบุการดำเนินการตาม "โฮสต์โซน" หรือ "การเปลี่ยนแปลง" เท่านั้น ซึ่งหมายความว่าผู้ใช้ของฉันต้องมีอำนาจเหนือทุกชุดบันทึกของฉันเพื่อเปลี่ยนหนึ่งเดียว ผลที่ตามมาของข้อผิดพลาดในรหัสในกรณีเช่นนี้เป็นมากกว่าภัยพิบัติ หากการตรวจสอบชื่อโซนโฮสต์ไม่ถูกต้องไม่ว่าด้วยเหตุผลใดฉันสามารถใช้ข้อผิดพลาดในการเปลี่ยนแปลงกับชุดระเบียนมากกว่าหนึ่งชุด (จินตนาการว่าชุดระเบียนหลายชุดชี้ไปที่กล่อง / โครงสร้างพื้นฐานเดียวกัน) คำถามของฉันไม่ได้เกี่ยวกับการไม่ทำผิดพลาดในรหัส แต่เป็นการสร้างผู้ใช้เพื่อปกป้องระบบจากความเป็นไปได้ดังกล่าว มีวิธีในการ จำกัด การเข้าถึง (หรือวิธีแก้ปัญหา) เพื่ออนุญาตให้ผู้ใช้ IAM ใหม่สามารถเข้าถึง Hosted Zones หนึ่งชุด / โซนที่ จำกัด เท่านั้น ในระดับ IAM ไม่ใช่ทางโปรแกรม ขอบคุณ.

2
สับสนกับความต้องการบทบาทของ ECS
ฉันกำลังพยายามตั้งค่า ECS แต่จนถึงตอนนี้ฉันได้พบปัญหาการอนุญาตบางประการซึ่งฉันได้สร้างคำถามในฟอรัมนี้แล้ว ฉันคิดว่าฉันยังติดขัดอยู่เพราะความจริงแล้วฉันไม่สามารถหาข้อกำหนดของบทบาทเหล่านี้ทั้งหมดได้ในที่เดียว ดูเหมือนว่าฉันต้องกำหนดอย่างน้อยสองบทบาท: 1) คอนเทนเนอร์ ECS http://docs.aws.amazon.com/AmazonECS/latest/developerguide/instance_IAM_role.html 2) งาน ECS http://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html#enable_task_iam_roles ถูกต้องหรือไม่ ฉันพลาดอะไรไปหรือเปล่า? มีข้อกำหนดพิเศษของ IAM หรือไม่?

3
สิทธิ์ / นโยบายใดสำหรับบทบาท IAM ที่จะใช้กับสคริปต์การตรวจสอบ CloudWatch
ด้วยสคริปต์การตรวจสอบ CloudWatch (mon-put-instance-data.pl) เป็นไปได้ที่จะระบุชื่อบทบาท IAM เพื่อให้ข้อมูลรับรอง AWS (--aws-iam-role = VALUE) ฉันกำลังสร้างบทบาท IAM เพื่อจุดประสงค์นี้ (เพื่อเรียกใช้ mon-put-instance-data.pl บนอินสแตนซ์ AWS) แต่ฉันควรให้สิทธิ์ / นโยบายใดแก่บทบาทนี้ ขอขอบคุณสำหรับความช่วยเหลือของคุณ

2
การจัดการข้อมูลรับรองความปลอดภัย IAM สำหรับคอนเทนเนอร์หลายตัวเทียบท่า
ภายในสภาพแวดล้อม EC2 ธรรมดาการจัดการการเข้าถึงทรัพยากร AWS อื่น ๆ นั้นค่อนข้างตรงไปตรงมากับบทบาทและข้อมูลประจำตัวของ IAM (ดึงมาจากข้อมูลเมตาของอินสแตนซ์โดยอัตโนมัติ) ง่ายยิ่งขึ้นด้วย CloudFormation ซึ่งคุณสามารถสร้างบทบาทได้ทันทีเมื่อคุณกำหนดบทบาทแอปพลิเคชันเฉพาะให้กับอินสแตนซ์ ถ้าฉันต้องการย้ายไปยัง Docker และมีการปรับใช้ M-to-N ซึ่งฉันมีเครื่อง M และแอปพลิเคชัน N ที่ทำงานอยู่ฉันควรจะ จำกัด การเข้าถึงทรัพยากร AWS ต่อแอปพลิเคชันอย่างไร ทุกคนบนโฮสต์สามารถเข้าถึงข้อมูลเมตาของอินสแตนซ์ได้ดังนั้นฉันจึงมีทุกแอปพลิเคชันที่สามารถดู / แก้ไขข้อมูลของแอปพลิเคชันอื่น ๆ ในสภาพแวดล้อมการปรับใช้เดียวกัน แนวปฏิบัติที่ดีที่สุดสำหรับการจัดหาข้อมูลรับรองความปลอดภัยให้กับคอนเทนเนอร์ของแอปพลิเคชันที่ทำงานในสภาพแวดล้อมดังกล่าวคืออะไร

3
เป็นไปได้ไหมที่จะส่งอีเมลผ่านบริการ amazon ses smtp ด้วยบัญชีบทบาทของ iam
ฉันมีบทบาท IAM พร้อมแนบนโยบายต่อไปนี้: { "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" } ] } อย่างที่คุณเห็นสิทธิ์การเข้าถึงแบบเต็มจะได้รับ ฉันใช้ไพ ธ อนต่อไปนี้เพื่อรับการแปลงข้อมูลประจำตัวของ IAM เป็นข้อมูลรับรอง SMTP: #!/usr/bin/env python from __future__ import print_function import base64 import hashlib import hmac import json import struct import urllib2 METADATA_BASE = 'http://169.254.169.254/2012-01-12/meta-data' def main(): access_key_id, secret_access_key = get_access_creds() …

2
ให้สิทธิ์การอ่านแบบ EC2 IAM ในการเข้าถึง S3 bucket
ฉันมีแอพ AWS Elastic Beanstalk Rails ที่ฉันกำหนดค่าผ่านสคริปต์การตั้งค่าเพื่อดึงไฟล์จาก S3 bucket เมื่อฉันเริ่มแอปพลิเคชันฉันยังคงได้รับข้อผิดพลาดต่อไปนี้ในบันทึก ( เปลี่ยนชื่อถังเพื่อความปลอดภัย ): Failed to retrieve https://s3.amazonaws.com/my.bucket/bootstrap.sh: HTTP Error 403 : <?xml version="1.0" encoding="UTF-8"?> <Error><Code>AccessDenied</Code><Message>Access Denied</Message> ไฟล์กำหนดค่า: packages: yum: git: [] files: /opt/elasticbeanstalk/hooks/appdeploy/pre/01a_bootstrap.sh: mode: "00755" owner: root group: root source: https://s3.amazonaws.com/my.bucket/bootstrap.sh สภาวะแวดล้อม Elastic Beanstalk ถูกตั้งค่าด้วยaws-elasticbeanstalk-ec2-roleบทบาท IAM เนื่องจากเป็นบทบาทอินสแตนซ์ บทบาทนี้มีนโยบายต่อไปนี้: { "Version": "2012-10-17", …

2
การเปิดใช้งานอุปกรณ์ MFA โดยอัตโนมัติสำหรับผู้ใช้ IAM
ฉันกำลังสร้างผู้ใช้ IAM มากกว่า 20 คนและฉันต้องการเปิดใช้งานอุปกรณ์ MFA เสมือนสำหรับพวกเขา มีวิธีใดบ้างที่ฉันสามารถทำได้พร้อมกันสำหรับพวกเขาทั้งหมดหรือวิธีใด ๆ ที่จะทำให้งานนี้เป็นอัตโนมัติ? ฉันต้องการกำหนดให้ผู้ใช้ IAM ทุกคนต้องใช้ MFA และไม่ต้องตั้งค่าให้ดำเนินการต่อ
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.