如何通过 IAM 控制用户对 Amazon DynamoDB 数据的访问?
AWS Identity and Access Management (IAM) 是否提供了一种方式,使用户只能编辑还是删除他之前添加的 Amazon DynamoDB 表中的项目? 解决方案 这在 AWS 添加后成为可能 Amazon DynamoDB 的精细访问控制,这有助于 AWS 身份和访问管理 (IAM) 策略来规范对存储在 DynamoDB 表中的项目和属性的访问. 介绍
..
amazon-iam相关内容
可以在 dynamodb 的细粒度访问策略中使用通配符 (*) 吗?
我有一个 Amazon dynamodb 表,其分区键由用户 id(来自 facebook 或 google)和其他字符组成.我知道通配符可用于指定细粒度访问策略的属性,但我无法在 dynamodb:LeadingKeys 中使用通配符. 这是工作政策: {“版本":“2012-10-17",“陈述": [{“效果":“允许",“行动": ["dynamodb:BatchGetItem",
..
IAM 策略条件中的 cognito 用户池自定义属性与 Dynamodb 细粒度访问
我有一个带有自定义属性 organization_id 的 Cognito 用户池.一个组织可能有多个用户.可以有多个组织.另一个 Dynamodb 表用于维护具有 _id 和 organization_id 作为分区键的类别.类别可以归组织所有,因此属于该特定组织的用户只能在这些类别中执行某些操作. 现在,我如何创建 IAM 策略,以便它采用 organization_id 而不是 sub
..
Lambda 和 DynamoDB:无权执行:dynamodb:Scan
我已经使用无服务器创建了我的 API,在我将我的 API 部署到 lambda 之后,我们尝试通过 GatewayAPI 中的“测试"按钮测试端点,我收到错误: “用户:arn:aws:sts::245912153055:assumed-role/pets-service-dev-us-east-1-lambdaRole/pets-service-dev-listPets 无权执行:dyna
..
AmazonServiceException:用户无权执行:dynamodb:DescribeTable 状态码:400;错误代码:AccessDeniedException
我原本以为这个问题是由于区域不匹配造成的,但是在更改区域后,我在尝试此处找到的 Amazon AWS 示例时仍然遇到以下错误: DynamoDBMapper AmazonServiceException: 用户: arn:aws:sts::[我的账户ARN]:assumed-role/Cognito_AndroidAppUnauth_DefaultRole/ProviderSession
..
使用 AWS Cognito 对 AWS DynamoDB 进行细粒度访问控制
我正在开发一个简单的应用程序 (ios),每个用户都可以向其他用户(他们的 Facebook 朋友)发送简单的消息(每个消息都由几个数据槽组成,目前都是字符串).人们通过 Cognito 使用他们的 Facebook 帐户登录,我使用 DynamoDB 中的单个表管理用户帐户,其中主键是 Facebook id(辅助键是唯一的消息 id).当用户 A 向用户 B 发送消息时,表中添加了两个几乎相同
..
如何在 IAM 角色的信任策略中检查自定义 OpenID 声明?
我正在使用 auth0 对用户进行身份验证以接收包含以下声明的 id 令牌 "http://myapp.com/scope": "写" 使用带有 OpenID 身份验证提供程序(即 auth0)的 Cognito 身份池,我能够成功获得访问 aws 服务的临时凭证.但是,我想根据上面的自定义声明限制对这些服务的访问.我认为正确的方法是编辑与我的身份池关联的信任策略,但我不确定如何添加条件来检查
..
使用 AWS CLI 命令添加带有条件的 SQS 权限
如何使用 AWS CLI 命令添加下面列出的 SQS 权限? "声明": [{"Sid": "Sid8390000202","Effect": "允许",“主要的": "*","Action": "SQS:*","资源": "arn:aws:sqs:us-east-1:12345678:example-queue",“健康)状况": {“ArnEquals":{"aws:SourceArn":
..
如何使用 IAM 用户帐户下载 EC2 X.509 证书?
通过 AWS Identity and Access Management,我有一个用户账户到我的 CTO 的 AWS 账户(他被记入了一些钱). 我想使用这个 IAM 用户帐户来设置我自己的实例以通过 ssh 连接到它并运行一些 BeautifulSoup python 脚本. 但是,按照本教程,当到达我需要继续Security Credentials 页面,我无法访问此页面,我是告
..
如何使用 AWS Cognito 从移动设备向 AWS 服务(即 CloudSearch)发出经过身份验证的请求?
我在过去一两天阅读了大量 AWS 文档,但还没有找到任何可以真正回答以下问题的内容: 如果移动应用程序使用 AWS Cognito 作为身份验证/身份提供商,我知道我们可以编写 AWS IAM 策略来指定用户可以执行哪些 AWS 资源和操作.有几个简短的策略示例允许用户将文件直接上传到 S3,但只能上传到以用户身份命名的“文件夹"中.很多地方都提到能够使用策略来控制对各种 AWS 资源(包括
..
如何创建 IAM 策略来限制对账单/付款管理的权限?
我想创建一个群组,其中的用户只能管理服务付款 - 例如输入帐户的信用卡信息等.我不希望此用户访问控制台中的任何其他工具.我该怎么做? 解决方案 很遗憾,AWS Identity and访问管理 (IAM) 就像您想象的那样 - IAM 支持 控制用户对您的 AWS 账户账单信息的访问,但这仅包括授予 IAM 用户查看相应页面的权限(所需权限 aws-portal:ViewBilling 和
..
由 PUT 触发的 AWS Lambda 到单独账户中的 s3 存储桶
我正在尝试触发 Lambda 函数以在更新到 s3 存储桶时运行.我试图触发 Lambda 的 s3 存储桶位于单独的 AWS 账户中. 我尝试过的方法是在具有 s3 存储桶的帐户中设置一个角色,该 s3 存储桶拥有 s3 存储桶的所有权限.然后在 Lambda 的帐户中,我有一个角色在另一个帐户中扮演这样的角色: {"版本": "2012-10-17",“陈述": [{"Effect":
..
如何将 DynamoDB 细粒度访问控制与 Cognito 用户池结合使用?
在使用 Cognito 用户池登录时,我无法理解如何在 DynamoDB 上使用细粒度访问控制.我已经按照文档搜索并搜索,但由于某种原因,我似乎无法让它正常工作. 下面列出了我的 AWS 设置.如果我删除角色策略中的条件,我可以毫无问题地获取和放置项目,因此条件似乎是问题所在.但我不知道如何或在哪里调试依赖于经过身份验证的身份的策略 - 哪些变量可用,它们的值是什么等等. 任何帮助将不
..
AWS Lambda 函数的跨账户角色
我有两个 AWS 账户(A 和 B).在我的账户 A 上,我有一个 lambda 函数需要访问账户 B 的资源.准确地说,我的帐户 A 上的 lambda 需要更新我的帐户 B 上托管的 Route53 区域中的记录. 与 S3 相反,我在 Route53 中没有看到任何资源访问策略.所以我有点失落.我尝试使用 IAM 跨账户角色,但这似乎不适用于 lambda. 如何允许账户 A 上
..
是否可以为 AWS 角色信任关系指定模式
我想允许来自不同帐户的某些角色代入我的帐户中的角色.我不想一一指定角色,因为它们容易频繁变化. 我为信任关系提出了这个策略,它应该允许名称以 _my_suffix 结尾的任何角色,但它不起作用(访问被拒绝): {"版本": "2012-10-17",“陈述": [{"Effect": "允许",“主要的": {"AWS": "arn:aws:iam::ACCOUNT_NR_A:root"}
..
在 IAM 中,我是否可以限制一组用户仅访问/启动/终止某些 EC2 AMI 或实例?
标题所说的. 在主 AWS 账户中,我有多个个人账户,即 AWS Identity and Access Management (IAM) 用户.我想将某些 IAM 用户分配到组并阻止他们终止某些 Amazon EC2 实例、取消注册某些亚马逊系统映像 (AMI) 等 我不介意他们玩自己的东西,但我不希望他们碰我的东西. 这可能吗? 解决方案 更新 AWS 刚刚宣布
..
AWS S3 Transfer Manager ${cognito-identity.amazonaws.com:sub} 策略变量访问被拒绝
我正在尝试使用传输管理器从特定于用户的文件夹中将文件从 AWS S3 下载到我的 iOS 移动应用程序,如下所示: @IBAction func 下载() {让 transferManager = AWSS3TransferManager.default()!让downloadingFileURL = URL(fileURLWithPath: NSTemporaryDirectory()).ap
..
实施标记的 AWS IAM 策略
有没有办法在创建 EC2 实例时强制执行标记?我,用户不能在没有特定标签的情况下启动实例.我可以使用该标签根据标签控制特定实例吗? 解决方案 我在为客户工作时遇到了类似的用例.答案是可以! 您可以强制用户使用 IAM 策略应用特定标签. 例如,您可以将策略附加到拒绝 ec2:RunInstances 操作的用户/角色(最好是角色),并带有检查标签键和值是否不是您期望的条件.由于
..
正确的预签名 URL 的 S3 策略
我需要发布预先签名的 URL,以允许用户将文件 GET 和 PUT 文件放入特定的 S3 存储桶中.我创建了一个 IAM 用户并使用其密钥创建预签名 URL,并添加了嵌入该用户的自定义策略(见下文).当我使用生成的 URL 时,我的策略出现 AccessDenied 错误.如果我将 FullS3Access 策略添加到 IAM 用户,该文件可以是具有相同 URL 的 GET 或 PUT,因此很明显
..
SAML IdP - 作为身份提供商的 AWS Cognito/IAM
我知道 Auth0 等服务既可以充当 SAML IdP,也可以与第三方 IdP 集成.看起来 Cognito 只能作为服务提供商与其他第三方 IdP 集成,它实际上可以扮演 IdP 的角色. 用例是我们的应用程序在 Cognito 中创建用户.我们希望使用可以与 SAML IdP 集成的第三方应用程序来支持 SSO.Cognito 可以做到这一点,还是我们需要使用 Auth0 之类的东西?
..