問題タブ [amazon-iam]

IAM を使用して、LDAP、NIS などと同様に PAM モジュールを介して、EC2 でホストされている UNIX ホストのユーザー アカウントを管理することはできますか?

私の目標は、シングル サインオン ソリューションをセットアップするオーバーヘッドなしに、EC2 ホストでホスト認証を一元化する手段を持つことです。

AWS IAM STS (boto 経由) を使用して、S3 バケットにアクセスするための認証情報を作成しています。次のポリシーのどこが間違っているのか途方に暮れています。ポリシーを可能な限り単純化しましたが、それでも予期しない結果が得られます。

ユーザーのトークンを取得したら、次のポリシーをアタッチします。

これは機能しますが、明らかに少し寛容すぎます。これらの資格情報に関連付けられているアクセス許可を絞り込む際に、同じポリシーを使用しようとしますが、バケットを指定します。

ここでは、S3 にアクセスしようとすると 403 エラーが発生します。AWS docs に基づいて、これがポリシー内の特定のバケットに対処する方法であると確信しているため、この制限の原因が何であるかについて途方に暮れています. バケットを間違って参照していますか?

S3 コンソールでは、ポリシーは空です (完全に許可されたポリシーも追加しようとしました)。STS トークンの生成に使用される AWS アカウントのポリシーは次のとおりです。

私の使用例は、ユーザーが新しいユーザー/パスワードを作成し、ユーザーごとにフォルダーを作成し、ファイルをアップロードできるようにすることです。

その後、戻ってきたときに、ユーザー/パスワードを使用してログインし、ファイルをダウンロードできます (これらは製品内で使用されます)。

C# API を使用してほとんどのスタッフの作業を完了することができました。非常に満足しています。唯一の問題は、ユーザー名/パスワードを使用して IAM でユーザーを認証する方法が見つからないことです。

エンド ユーザーがキー/シークレットや長い文字列について心配する必要はありません。エンド ユーザーは、これらの詳細 (およびデータ ファイルへのアクセス) を他のユーザーに転送して、他のユーザーを支援できると想定されています。

IAM ユーザー名/パスワードを認証する方法はありますか? ありがとう、うり。

3 つのバケットを含む AWS S3 アカウントを持っています。新しいユーザーがバケットにアクセスしてファイルを追加/削除できるように、新しいユーザー用のアクセス コードを生成できる必要があります (できれば自分のファイルのみで、取引を妨げるものではありません)。

IAM を使用して新しいユーザーにアクセスを許可するところまで到達しました。ただし、アップロードされたオブジェクトのメタデータを (AWS SDK を使用して PHP で) 読み取ると、所有者がメインの AWS アカウントとして戻ってきます。

ドキュメントのページを読みましたが、ファイルの所有者 (またはアップローダー) の特定に関連するものは何も見つかりません。

アドバイスや指示は大歓迎です！

ありがとう。

IAM（Identity and Access Management）を使用して、特定の目的のために特定のアクセス許可を持つユーザー/グループを作成するのが好きです。

Product Advertising APIではアクセスキー（リクエストパラメータはAWSAccessKeyId ）を使用する必要があり、IAMはアクセスキーを生成できますが、IAMユーザー/グループにProductAdvertisingAPIのみへのアクセスを許可する方法がわかりません。

これができるかどうか誰か知っていますか？または、回避策を知っていますか？

タイトルの内容。

マスターAWSアカウント内に、いくつかの個人アカウント、つまりAWS Identity and Access Management（IAM）ユーザーがいます。特定のIAMユーザーをグループに割り当て、特定のAmazon EC2インスタンスを終了したり、特定のAmazonマシンイメージ（AMI）の登録を解除したりしないようにしたい。

彼らが自分のもので遊んでいるかどうかは気にしませんが、私は彼らに私のものに触れてほしくないです。

それは可能ですか？

AWS MapReduce でジョブ フローを作成し、コンテキスト アドバタイジング (Hive スクリプト) のジョブ フローを作成しました - 「インタラクティブな Hive セッションの開始」を実行し、m1.small インスタンスを選択し、VPC サブネット ID なしで続行し、Configure Bootstrap アクションで Hadoop を構成しました。現在、ジョブ フローは開始状態になり、15 ～ 20 分後に失敗状態になり、待機状態にはなりません。「Last State Change Reason: User account is not Authorized to call EC2」と表示されます。 IAM を介して自分自身に PowerUserAccess を与えました。また、私は自分自身に以下のポリシーを与えました。

1.AmazonEC2FullAccess 2.AmazonElasticMapReduceFullAccess 3.IAMFullAccess

これらすべてのポリシーを適用した後も、「ユーザー アカウントは EC2 を呼び出す権限がありません」と表示されます。

ガイドしてください。ありがとう。

AWS IAM ユーザーが特定の AWS SQS キューにアクセスするためのユーザー ポリシーを設定しようとしています。

以下のポリシーを試してみると、エラー AccessDenied が表示されます。

ただし、arn の queue_name 部分を * に置き換えるだけで同じポリシーを使用しようとすると、機能します。

特定のキューへのアクセスを制限しようとすると、何が問題になる可能性がありますか?

.NETアプリケーションを介してAmazons3にアクセスしようとすると、アクセスが拒否されます。IAMユーザーがいますが、彼の資格情報を使用すると正常に機能します。しかし、自分のクレデンシャルを使用してフェデレーションユーザーを作成すると、結果のユーザーはAmazons3のバケットにアクセスできなくなります。注意すべき点の1つは、コードでフェデレーションユーザーのポリシーを指定していないことです。彼にIAMユーザーと同じアクセスレベルを持たせたいです。ただし、コードでポリシーの値を指定すると、バケットにアクセスして一覧表示できます。ポインタはありますか？

IAM APIをアプリケーションのユーザー登録サービスとして使用することはできますか？

つまり、アカウントとパスワードを作成するためにユーザーを提示した場合です。その後、IAMでログインして、私のアプリケーションを使用できますか。

それとも、実際のAWSプラットフォームをいじくり回している開発者向けですか？

ありがとう、ベン