Questions tagged «amazon-iam»

我最近开始使用新的Amazon Elasticsearch Service，但似乎无法弄清楚我需要的访问策略，这样我只能从分配了特定IAM角色的EC2实例中访问服务。 这是我当前为ES域分配的访问策略的示例： { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::[ACCOUNT_ID]:role/my_es_role", ] }, "Action": "es:*", "Resource": "arn:aws:es:us-east-1:[ACCOUNT_ID]:domain/[ES_DOMAIN]/*" } ] } 但是正如我所说，这是行不通的。我登录到EC2实例（具有my_es_role附加的角色）并尝试在“ https：//*.es.amazonaws.com”端点上运行简单的curl调用，出现以下错误： {“消息”：“用户：匿名者无权执行：es：ESHttp获取资源：arn：aws：es：us-east-1：[ACCOUNT_ID]：domain / [ES_DOMAIN] /”} 有人知道我必须更改访问策略才能使其正常工作吗？

99 amazon-web-services  elasticsearch  amazon-ec2  amazon-iam  amazon-elasticsearch 

在寻找一种快速提取我的帐号的方法时，我本来曾想使用aws iam get-account-authorization-details --max-items 1该方法，但是这样做存在一些问题。有没有一种方法可能不会跨越帐户来源？

99 amazon-web-services  aws-cli  amazon-iam  aws-sts 

我将在CloudFront上创建一个新发行版。我已经使用AWS CLI在AWS IAM上上传了SSL证书。该证书显示在新分发页面的“自定义SSL证书”下拉列表中，但已禁用。 有人可以告诉我为什么吗？如何选择此分发的自定义SSL证书？

98 ssl  amazon-web-services  amazon-cloudfront  amazon-iam  aws-cli 

让我先解释我的问题。我从CA购买了证书，并使用以下格式生成了csr和私钥： openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr 当我打开server.key文件时，我看到它以“ ----- BEGIN PRIVATE KEY -----”开头 我在服务器上使用SSL证书，并且一切正常。 现在，我想将同一证书上传到AWS IAM，以便可以通过beanstalk负载平衡器使用它。我从此AWS文档中使用以下命令http://docs.aws.amazon.com/IAM/latest/UserGuide/InstallCert.html#SubmitCSRCertAuth iam-servercertupload -b public_key_certificate_file -k privatekey.pem -s certificate_object_name 我根据需要更改了证书文件名，但始终收到此错误：“ 400 MalformedCertificate无效私钥”。 有趣的是，在aws doc页面上，它们显示的示例私钥以“ ------- Begin RSA Private Key --------”开头。 有没有办法使用openssl将我的私钥转换为RSA私钥？

97 ssl  openssl  ssl-certificate  amazon-iam 

我正在尝试从节点调用lambda函数。 var aws = require('aws-sdk'); var lambda = new aws.Lambda({ accessKeyId: 'id', secretAccessKey: 'key', region: 'us-west-2' }); lambda.invoke({ FunctionName: 'test1', Payload: JSON.stringify({ key1: 'Arjun', key2: 'kom', key3: 'ath' }) }, function(err, data) { if (err) console.log(err, err.stack); else console.log(data); }); 密钥适用于IAM用户。用户必须AWSLambdaExecute和AWSLambdaBasicExecutionRole附加政策。 我收到权限错误： AccessDeniedException: User: arn:aws:iam::1221321312:user/cli is not authorized to perform: …

77 amazon-web-services  aws-lambda  amazon-iam 

我想将一个预先存在的AWS托管角色附加到策略，这是我当前的代码： resource "aws_iam_role_policy_attachment" "sto-readonly-role-policy-attach" { role = "${aws_iam_role.sto-test-role.name}" policy_arn = "arn:aws:iam::aws:policy/ReadOnlyAccess" } 有没有更好的方法来对托管策略进行建模，然后对其进行引用，而不是对ARN进行硬编码？好像每当我对ARN /路径或类似的东西进行硬编码时，我通常都会在以后发现有更好的方法。 Terraform中已经存在一些可以模拟托管策略的东西吗？还是对ARN进行硬编码是“正确”的方式？

76 amazon-web-services  amazon-iam  terraform 

我正在以编程方式添加和删除AWS IAM用户策略，并且从这些策略的应用程序中获得不一致的结果。 例如，这可能成功也可能不会成功（我正在使用Java 1.6.6 SDK）： 从可以读取特定存储桶的用户开始 清除用户策略（列出策略，然后为每个策略调用“ deleteUserPolicy”） 等待直到用户没有用户策略（调用“ listUserPolicies”，直到它返回一个空集）为止 尝试从存储桶中读取数据（这应该会失败） 如果我在＃3和＃4之间插入一个断点并等待几秒钟，那么用户将无法从存储桶中读取内容，这正是我所期望的。如果删除断点，则用户可以从存储桶中读取数据，这是错误的。 （这在我添加策略然后访问资源时也不一致） 我想知道策略更改何时对组件（S3，SQS等）产生了影响，而不仅是对IAM系统产生了影响。有什么办法可以从中获得收据或确认吗？或者也许有一定的时间等待？ 是否有关于政策申请内部的任何文件？ （仅供参考，我从https://forums.aws.amazon.com/thread.jspa?threadID=140383&tstart=0复制了我的问题）

75 amazon-web-services  amazon-s3  policy  user-permissions  amazon-iam