使用 Boto3 访问另一个账户中的 S3 存储桶时,Lambda 超时
我正在尝试使用 boto3 从我的 AWS Lambda 访问另一个账户中的 S3 存储桶.以下是我配置的步骤.: 1. 在我的 Lambda 所在的账户 A 中,我创建了执行角色 (Lambda-S3-SNS-VPC-Role) 并将一个 AmazonS3FullAccess 托管策略和一个内联策略附加到它: {"版本": "2012-10-17",“陈述": [{"Sid": "Stmt1
..
amazon-iam相关内容
在启用 Neptune IAM DB 授权的情况下,是否可以通过 ssh 隧道/端口转发从本地计算机访问 Neptune DB?
我无法通过 ssh-tunnel EC2(ec2 与 neptune db 存在于同一 vpc 中)从本地系统连接到 Neptune DB,其中在启用 Neptune IAM DB 授权时建立了 Neptune DB 连接. 通过禁用 IAM DB 授权,我可以从本地机器访问 Neptune DB.我找不到足够的文档.有人可以帮忙吗. 解决方案 如果使用 SSH 隧道并在连接字符串中
..
nodejs 中 lambda 函数内的 AWS IAM 授权
我有一个受 IAM 授权保护的 API,这是一个允许 IAM 用户 integ-user 调用 API 的资源策略. 现在我想编写一个 lambda 函数来调用相同的 API.鉴于我可以访问 IAM 访问密钥和密钥(通过环境变量或 AWS Secret Manager),我如何对用户进行 IAM 授权,以便它可以成功调用 API? 用于调用相同 API 的示例代码(未经 IAM 授权)
..
AWS:如何管理多个账户的身份验证
我们有多个 AWS 账户(大约 15-20 个),我们管理的每个客户一个 AWS 账户,每个账户都有 VPC,有专门的实例设置.由于监管要求,所有帐户都需要相互隔离. 管理这些 AWS 账户的账户凭证的最佳方式是什么?以下是我的想法 -对于任何新客户 创建一个新的 AWS 账户 创建 AWS IAM 角色(管理员、开发人员、tester) 用于使用 cloudformation
..
AWS Amplify AppSync IAM 401
我收到 GraphQLError: Request failed with status code 401 我按照以下自动配置说明进行操作: https://aws.github.io/aws-amplify/media/api_guide#automated-configuration-with-cli 我尝试寻找,但缺乏 IAM 资源.看起来一切都应该自动设置,并在我输入 I
..
访问资源 https://sqs.us-east-1.amazonaws.com/被拒绝
有很多关于这个错误的参考,但是, 下面是为 lambda 创建的执行角色(AWS::Serverless::Function): {“权限边界":{"permissionsBoundaryArn": "arn:aws:iam::111222333444:policy/some-permission-boundary","permissionsBoundaryType": "政策"},"ro
..
AWS IAM 组和组织单位有什么区别?
我正在调查 AWS 中的用户和组,但对 AWS IAM 组和组织单位有一些困惑.它们似乎都实现了相同的功能,例如组织具有相似任务的类似帐户并将策略分配给帐户组.有什么区别?任何进一步的见解将不胜感激. 解决方案 IAM 组是 IAM 用户的集合,而 OU 是 AWS 账户的组.
..
AWS IAM 强制 MFA 但允许第一次更改密码
您如何强制 AWS IAM 用户使用 MFA,但允许他们在首次登录时更改密码? 如果您关注 AWS Docs 和强制 MFA,新用户在第一次获得帐户时无法更改密码. 我知道您可以强制 MFA 或 not 并允许用户管理自己的密码和凭据.此外,AWS 有办法解决此问题,但不建议这样做: 此示例策略不允许用户在以下情况下重置密码登录.新用户和密码过期的用户可能会尝试这样做.您可以通过
..
AWS SAM - 无法创建变更集:Water ChangeSetCreateComplete 失败
AWS SAM 使用 aws-sam-cli 将代码库部署到 AWS 云,但它让我陷入以下错误. 未能创建变更集:Water ChangeSetCreateComplete 失败:Water 遇到终端故障状态状态:FAILED.原因:需要功能:[CAPABILITY_IAM] 解决方案 在创建或部署堆栈时,您需要明确允许创建 IAM 资源.为此,您需要在调用 sam deploy 时
..
为 AWS 控制台登录而不是 API 调用强制执行 MFA
我希望强制所有 IAM 用户(本地和远程)启用和激活他们的 MFA 设备.我希望他们都能让 MFA 完成各自的任务. 我正在尝试以下政策 {“效果":“允许",“动作":“*",“资源":“*",“条件":{“Bool":{“aws:MultiFactorAuthPresent":“true"}}} 然而;无论您通过控制台或 API 访问服务的方式如何,本政策均适用. 所有用户都完
..
Elastic Beanstalk IAM 开发人员权限
我一直试图弄清楚我需要设置哪些权限才能让开发人员在特定 EB 环境中执行 eb 部署、eb 日志和 eb ssh.我想设置为所有开发者都可以在我们的开发环境中进行部署和调试,但只有一个人可以进行部署和调试大师. 我还希望将其锁定,以便它们不会影响任何其他 EC2 实例、RDS 实例、S3 存储桶、负载均衡器等. 是否有人设法为此制定了一个 IAM 政策(或两个...)? 解决方案
..
如何使用 aws.s3 包函数(write_using 和 read_using)从 EC2 上的 R 访问 S3 数据?
我正在尝试使用 aws.s3 包中的 write_using() 从 EC2 中的 R 读取/写入 S3. 到目前为止我做了什么 EC2 附加了一个 IAM,允许读/写 特定的 AWS S3 存储桶 我已将 IAM 与 EC2 相关联.我还创建了一个存储桶(在这个例子中,请假设它被称为 my-unique-bucket) 当我进入 EC2 并打开 R 时,然后运行类似 s3
..
允许用户池中的 Cognito 用户访问 S3 存储桶的存储桶策略
我正在尝试向我的存储桶添加存储桶策略,因为我的存储桶位于 root aws 帐户中,并且我想限制 root 帐户下的其他用户、角色等访问我的存储桶,但特定 Cognito 用户除外在我的用户池中. 我不想也使用身份池——我只想将 Cognito 用户称为我的存储桶策略中的主体.有没有办法在不使用身份池的情况下做到这一点?我找不到任何执行此操作的示例政策. 解决方案 您可以将存储桶策略
..
使用 Cognito UnAuth 角色时的 IAM 权限问题
我正在制作一个简单的 React 应用程序,以通过 DescribeDBInstances API 访问 RDS 数据.我想允许公共访问,因此我使用启用了未经身份验证的访问的 Cognito. 我将以下策略附加到提供的 UnAuth 角色,但在尝试从 JavaScript (nodejs) 使用 RDS API 时,我仍然收到以下错误: {“版本":“2012-10-17",“声明":[{
..
我可以在 S3 存储桶策略中使用 Cognito 用户池组吗?
所以我只阅读了一半的互联网,我认为我对所有可能的东西都有很好的把握.不过对于我的用例,我仍然有一个问题. 我的要求:我有在 Cognito 中管理的用户,这些用户所在的组目前仅在我的应用程序中管理.我只想向群组成员提供对 S3 存储桶的访问权限. 据我所知,我可以做的是在 Cognito 中管理这些组,向该组添加一个 IAM 角色,然后设置一个设置权限的存储桶策略. 根据本文档,
..
带有 Cognito 的 AWS Elasticsearch Kibana - 缺少角色
按照本文为 AWS Elasticsearch 设置 Cognito 身份验证. https://aws.amazon.com/blogs/database/get-started-with-amazon-elasticsearch-service-use-amazon-cognito-for-kibana-access-control/ 出现错误: Open Distro fo
..
获取服务:AmazonIdentityManagement;状态码:400;错误代码:创建 Cloudformation 堆栈时的 MalformedPolicyDocument
我正在尝试为 ECR 和 ELB 创建云形成模板,我将我的图像分别推送到 ECR.在 Dockerrun.json 中,我像这样引用我的图像“图像":“.dkr.ecr.ap-south-1.amazonaws.com/*:latest".所以我需要为 ELB 和 ECR 提供 IAM 权限.但是此模板中的 IAM 部分存在一些问题.创建堆栈时出现此错误.是否需要修复? 策略中的语法错误.(服务
..
如何配置对 Elastic beanstalk Cloudformation 模板的 ECR 读取权限?
我有一个带有多容器 docker CF 模板的弹性 beanstalk,如下所示.我单独将我的图像推送到 ECR.在 Dockerrun.json 中,我像这样引用我的图像“图像":“.dkr.ecr.ap-south-1.amazonaws.com/*:最新".通过使用这个 CF 模板,我可以创建带有多容器的 ELB.但是在部署我的 Dockerrun.json 时,由于我的图像的权限被拒绝而失
..
AWS CloudFormation Stack 更新错误:需要功能:[CAPABILITY_IAM]
使用 CloudFormation 创建堆栈时,出现此错误: 堆栈更新错误:需要功能:[CAPABILITY_IAM] 我找不到用于将 CAPABILITIES_IAM 添加到 CloudFormation 配置的模板. 解决CAPABILITIES_IAM 错误的选项有哪些? 解决方案 事实证明您需要在堆栈创建的最后一个屏幕上选中一个框.如果您正在使用控制台,则在“创建
..
(InvalidRequestException) 调用 GetQueryResults 时..... 从 Lambda Python 查询 Athena.. 无法读取结果
我一直在尝试从我的 lambda 函数 (Python3.8) 中查询 Athena,但我不断收到相同的错误,尽管我尝试添加 if else 语句来检查执行状态,并且我总是在 aws 控制台上出现相同的错误和本地的 cli 这里是 lambda 函数: 导入json导入 boto3导入时间定义函数(事件,上下文):客户= boto3.client('雅典娜')#设置并执行查询querySt
..