使用IAM角色时的AWS boto3 InvalidAccessKeyId
我使用预先签名的帖子/url向S3上传和从S3下载。预先签名的url/post由lambda函数中的boto3生成(与zappa一起部署)。 而我将AWS_SECRET_ACCESS_KEY和AWS_ACCESS_KEY_ID添加为环境变量可以很好地工作。然后,我删除了我的凭据,并将IAM角色添加到lambda以完全访问S3存储桶。之后,lambda返回带有预签名的URL,getObject
..
amazon-iam相关内容
AWS SAM-资源之间的循环依赖错误
我按照此tutorial设置了AWS Lambda函数,该函数在上载到S3时调用并填充DynamoDB。 我正在尝试使用AWS SAM实现同样的目的,我需要使用配置信息为其定义一个template.yaml文件。使用CloudForms部署时不断收到此错误- Failed to create the changeset: Waiter ChangeSetCreateComplete f
..
AWS CloudForformation:CloudWatch Alarm for RDS是否需要IAM角色?
每当我的RDS实例的可用存储空间小于阈值(例如2 GB)时,我希望收到通知电子邮件。 出于上述原因,我从监控FreeStorageSpace指标的AWS控制台创建了一个警报。 现在,我希望将此警报片段放入我现有的CloudFortification模板中,以便将此警报链接到我现有的RDS实例。我是否需要为RDS创建任何类型的IAM角色? Type: AWS::CloudWat
..
CloudFortification无法为apigateway创建资源策略
当我将资源策略直接传递到控制台时,它工作正常。 以下是资源策略示例:- { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "execute-api:Invok
..
如何使用AWS CDK添加S3 BucketPolicy?
我想将这段云表单翻译成CDK: Type: AWS::S3::BucketPolicy Properties: Bucket: Ref: S3BucketImageUploadBuffer PolicyDocument: Version: "2012-10-17" Statement: Action: - s3:PutObject
..
在禁用 IAM 控制台访问的情况下创建的 Terraform 预置 IAM 用户
我在 Terraform 配置中通过 keybase.io PGP 生成凭据.我可以确认新用户通过 aws-cli 访问成功. 但是,控制台访问仍然被禁用.有没有办法在启用控制台访问的情况下使用 Terraform 创建用户? 我很欣赏这对于 Terraform 来说有点反模式,但我希望我的新用户能够登录到控制台 UI 以进行验证/调试. 更新 1 地形模块: htt
..
Terraform 使用 IAM 角色承担
我一直在使用带有 terraform 的访问/密钥来创建/管理我们在 AWS 中的基础设施.但是,我正在尝试改用 IAM 角色.我应该能够在我的帐户中使用一个角色并在另一个帐户中担任该角色,并且应该能够运行计划、应用等以在另一个帐户中构建基础设施.任何想法,请提出建议. 到目前为止,我正在使用 https://www.terraform.io/docs 进行测试/providers/aws/
..
Terraform 定义的任务角色对于 ECS 计划任务无法正常工作
我们的团队有一堆 cron 作业作为 ECS 计划任务运行.最近我添加了一个需要使用 dynamodb 的新工作,所以我在我们的 terraform 文件中添加了权限,但不断出现权限失败: com.amazonaws.services.dynamodbv2.model.AmazonDynamoDBException:用户:arn:aws:sts::87********23:assumed-rol
..
如何将 IAM 角色附加到 EC2 实例,以便它们可以从 Terraform 中的 ECR 提取特定图像
我正在尝试将 IAM 角色附加到 EC2 实例(不是 ECS),以便它们可以从 ECR 中提取图像. 解决方案 做这样的事情.请注意,您可能希望限制可访问的 ECR 存储库. 资源“aws_instance"“测试"{...}资源“aws_launch_configuration"“ecs_cluster"{...iam_instance_profile = "${aws_iam_ins
..
授予对具有特定“标签"的 s3 的访问权限使用 AWS IAM 角色和策略
我想创建一个 AWS IAM 策略,这样附加的角色应该有权访问所有具有标签“Team = devops"的 S3 存储桶.我尝试了以下 JSON 文件,但它不起作用. {“版本":“2012-10-17",“陈述": [{“效果":“允许",“行动": "*","资源": "arn:aws:s3:::*",“状况": {"StringEquals": {"s3:ResourceTag/Team"
..
创建 IAM 角色时出错.MalformedPolicyDocument:已禁止字段资源.地形
我看过几个链接,但我必须看一个例子.我有: 资源“aws_iam_role"“角色"{名称=“角色"假设角色策略 =
..
Terraform AWS 角色策略在添加权限时失败
我需要使用 Terraform 为 AWS 创建一些角色策略,基本角色可以正常工作,但是当我添加 S3 和日志时,出现格式错误: aws_iam_role.lambda_exec_role_s3:创建 IAM 角色 lambda_exec_role_s3 时出错:MalformedPolicyDocument:禁止字段资源状态码:400 这是失败的角色策略: assume_role_
..
Terraform:将 AWS 托管策略附加到角色的正确方法?
我想将预先存在的 AWS 托管角色之一附加到策略中,这是我当前的代码: resource "aws_iam_role_policy_attachment" "sto-readonly-role-policy-attach" {角色 = "${aws_iam_role.sto-test-role.name}"policy_arn = "arn:aws:iam::aws:policy/ReadOnl
..
如何使用 Terraform 将多个 IAM 策略附加到 IAM 角色?
我想将多个 IAM 政策 ARN 附加到单个 IAM 角色. 一种方法是创建一个具有所有策略(多个策略)权限的新策略. 但在 AWS 中,我们有一些预定义的 IAM 策略,例如 AmazonEC2FullAccess、AmazomS3FullAccess 等.我想将这些组合用于我的角色. 我在 Terraform 文档中找不到这样做的方法. 根据文档,我们可以使用 aws_
..
Terraform aws 承担角色
我对使用 terraform 的 AWS 代入角色有疑问. 在 AWS 中,我在单个组织中拥有三个账户:root、staging 和 production(我们只关注 root 和 staging 账户).根账户有一个 IAM 用户 terraform(使用 AdministratorAccess 策略),terraform 使用该用户来配置所有内容. 组织架构图 根账号ID:111
..
Terraform - assume_role_policy - 与标准 IAM 策略相似但略有不同
此页面 https://www.terraform.io/docs/providers/aws/r/iam_role.html 提到: 注意:这个假设角色策略非常相似但略有不同不仅仅是标准 IAM 策略,不能使用 aws_iam_policy资源.但是,它可以使用 aws_iam_policy_document 数据源,请参阅下面的示例以了解其工作原理. assume_role_pol
..
用于连接 AWS Cloudwatch Logs、Kinesis Firehose、S3 和 ElasticSearch 的 AWS IAM 策略
我正在尝试通过 Kinesis Firehose 将 AWS cloudwatch 日志流式传输到 ES.下面的 terraform 代码给出了一个错误.有什么建议..错误是: aws_cloudwatch_log_subscription_filter.test_kinesis_logfilter:发生 1 个错误: aws_cloudwatch_log_subscription_fil
..
AppSync BatchResolver AssumeRole 错误
我正在尝试使用新的 DynamoDB BatchResolvers 写入 AppSync 解析器中的两个 DynamoDB 表(目前使用 Lambda 函数来执行此操作).但是,我在查看 CloudWatch 日志时收到以下权限错误: “用户:arn:aws:sts::111111111111:assumed-role/appsync-datasource-ddb-xxxxxx-TABLE-
..
允许访问特定表的 DynamoDB 控制台的 IAM 策略
是否可以创建一个 AWS IAM 策略,只为特定表提供对 DynamoDB 控制台的访问权限?我试过了: {“版本":“2012-10-17",“声明":[{“Sid":“Stmt0000000001",“行动":[“dynamodb:描述表",“dynamodb:ListTables",],“效果":“允许",“资源":["arn:aws:dynamodb::
..
DynamoDB 细粒度访问控制:是否可以使用 ${cognito-identity.amazonaws.com:email}?
我的用户有 Cognito 帐户. 根据 这篇文章我们可以使用这样的策略限制对 DynamoDB API 的访问: {“版本":“2012-10-17",“陈述": [{“效果":“允许",“行动": ["dynamodb:GetItem","dynamodb:PutItem",“dynamodb:查询"],“资源":[“arn:aws:dynamodb::
..