問題タブ [amazon-iam]

ユーザーAがEC2インスタンスを開始するにはどうすればよいですか。

また、ユーザーAによって開始されたインスタンスは、ユーザーBには表示されません。

IAMでこれを行うことはできますか？

私はこのセットを試しました：

ただし、ユーザーAによって開始されたインスタンスを含むすべてが非表示になります

アプリケーションの最新バージョンをダウンロードするためにプライベート S3 バケットにアクセスする必要があるスタックを構築しています。私はIAM ロールを使用しています。これは、EC2 インスタンスに特定のロールを割り当てることができる比較的新しい AWS 機能であり、その後、IAM ポリシーと結合されます。残念ながら、これらのロールには、インスタンス化時に生成された一時的な API 資格情報が付属しています。それは不自由ではありませんが、この cloud-init スクリプトのようなことをすることを余儀なくされました (関連するビットだけに簡略化されています):

何よりもまず、これは機能し、かなりうまく機能します。それでも、CloudFormation のソース アクセスに対する既存のサポートを使用したいと思います。具体的には、 S3 バケットなどの保護されたデータを取得するための認証リソースcfn-initの使用をサポートします。内からこれらのキーを取得したり、IAM ロールを認証リソースに関連付けたりする方法はありますか?cfn-init

別の方法として、ソースを他の認証済みサービスの背後に配置することも考えられますが、現時点では実行可能なオプションではありません。

別の有望なリードはAWS::IAM::AccessKey リソースですが、ドキュメントではロールで使用できることは示唆されていません。とにかくやってみます。

IAMアカウントに、次のような管理者権限を持つ「testuser」というユーザーがいます。

そして、次のように、このユーザーアクセスを拒否するポリシーがS3バケットにあります。

したがって、S3バケットポリシーでの明示的な拒否は、IAMポリシーからの許可をオーバーライドする必要がありますか？ただし、testuserとしてログインしても、そのバケット内のすべてにアクセスできます。そのバケット（および他のすべてのバケット）のバケットポリシーを変更または削除することもできます。なぜ私の明示的な拒否は何もしないのですか？

本番環境での実際の商用 IAM の代わりとして、開発で使用するオープンソースの軽量 IAM を探しています。基本的な IAM 機能を備え、インストールが簡単で、ユーザー グループなどの HTTP ヘッダーを挿入するように簡単に構成できます。OpenAM は良いオプションですか? 推奨事項はありますか？

Android デバイスと Amazon の S3 ストレージ システムを使用しています。

メイン ユーザー アカウントがあり、ユーザーに代わってストレージにアクセスするサブユーザーを作成しました。

通常、メイン ユーザーで S3 にアクセスするには、次のようにします。

ACCESS_KEY_ID と SECRET_KEY は、メイン ユーザーのアカウントに指定されています。

IAM ユーザー「Alice」でこれを実行しようとしています。このユーザーには、独自の ACCESS_KEY_ID が与えられました。上記のコードを使用して、上記と同じ SECRET_KEY で Alice の ACCESS_KEY_ID を使用します。ユーザー Alice には特別な権限や制限がないため、ユーザーはバケットを作成できると想定しています。

createBucket が呼び出されると、エラーが発生します。

IAM ユーザーを使用して Android API を介して S3 に認証する別の方法を見つけることができないようです。

A任意の助けをいただければ幸いです、ありがとう。

AWS IAM の例に従って、次のような conf があります。しかし、この IAM ポリシーがアタッチされたユーザーの資格情報を使用すると、「アクセスが拒否されました」という結果になります。

Stringlike 条件の削除は正常に機能します。

また、バケット「サブフォルダ」からオブジェクトを取得するには、

... "アクション":"s3:GetObject" ... "リソース":"arn:aws:s3:::BUCKET/STRING/*" ...

この制限された getObject パーミッションだけでは十分ではありません (再び拒否されました) が、ListBucket ポリシーをバケット全体に追加すると機能します。同じディレクトリに含まれる 777 ファイルにアクセス (読み取り) するためにディレクトリに READ(list) ビットを設定する必要がある場合、AWS は *nix のように機能しますか?

助けていただけますか？IAM ポリシーについての理解に自信がありません。ありがとう

EC2 インスタンスは、「169.254.169.254」への HTTP GET でメタデータを取得できます。インスタンスに IAM ロールが適切に割り当てられている場合、その API 資格情報を自動的に「検出」できます。

ただし、これらは一時的なものであり、定期的に更新する必要があります。Boto は、チェック後 5 分以内に有効期限が切れると、自動的にそれを行います。

場合によっては、更新に非常に時間がかかることがあります (数分)。このシステムに切り替える前に、現在の資格情報と「将来の」資格情報の両方を使用できる期間はありますか、それとも新しい資格情報を照会するとすぐに現在の資格情報が無効になりますか?

boto を使用して S3 のバケットにアクセスしようとしています。バケットへの読み取りアクセスが許可されており、S3 ブラウザーでバケットを探索すると、キーが機能します。次のコードは、403 Forbidden Access Denied を返しています。

これは、boto 構成ファイルを介してアクセス キーとシークレット アクセス キーを使用する場合にも発生します。キーはおそらく IAM からのものであるため、他に何かする必要がありますか? これは、セットアップのエラーを示している可能性がありますか? 私は IAM についてあまり知りません。キーを与えられただけです。

Amazon AWS IAM をウェブサイトでのユーザー ログインに使用できますか?

AWS API for Javaを使用して新しいユーザーを作成する方法を理解しようとしていますが、何をする必要があるのか​​理解できません。

これまでのところ、すべてのフィールドに入力されたCreateUserRequest、CreateAccessKeyRequest、およびBasicAWSCredentialsを提供するこのコードを作成することができました。

次に何をすべきかわからない。CreateUserResultを使用する必要がありますか？どのように？

編集：私は今日もこれに取り組んでいます。

AmazonIdentityManagementClientクラスのcreateUser（CreateUserRequest）メソッドを使用する必要があると思います。（これはCreateUserResultを返しますが、このクラスを手動でインスタンス化することは想定されていませんでした）

問題は、このクラスを適切なAWSCredentialsで適切に初期化する方法がわからないことです（アカウントのAccessKeyとSecretAccessKeyを使用しています）。