問題タブ [amazon-iam]

AWS IAMユーザーを制限して、AWS IAMポリシーを使用して表示したい選択したホストゾーンのみを一覧表示できますか？

ホストされているゾーンA、B、Cが3つあり、AWSIAMユーザーからAを非表示にしたいとします。このポリシーで行う必要のある変更-

質問が尋ねるように、ロックダウンされたs3 IAMユーザーがdjango-storagesを正常に使用するために最低限必要なアクセス許可は何ですか？現時点では、私は次のようなものを使用しています

これは実際にはやり過ぎかもしれません。他にアイデアはありますか？

php sdk を使用して新しい amazon ec2 インスタンスを作成し、起動時に特定のロールの IAM プロファイルを提供する方法を知りたいです。

これは明らかに新しい機能であり、その結果、現時点では実際の例はまばらです。以下の Amazon からのリンクは魅力的ですが、SDK から割り当てられた IAM プロファイルを使用して実際にインスタンスを作成する部分をスキップし、代わりに管理コンソールを使用します (これでは目的全体が無効になりますよね?)。

http://docs.amazonwebservices.com/AWSSdkDocsPHP/latest/DeveloperGuide/php-dg-roles.html

run_instances のオプションだと思いますが、代わりに IAM オブジェクト経由であると思いますか?

ありがとう、

R

EC2 インスタンスをセットアップするためのブートストラップ スクリプトを作成しようとしています。インスタンスが起動時に S3 バケットからソースコードを自動的にダウンロードするようにしたいです。最近、EC2 インスタンスに IAM ロールを割り当てて、メタデータ サーバーから一時的な資格情報を取得できるようにすることについて読みました。この方法では、AWS 認証情報をイメージに保存したり、起動時に渡したりする必要がありません。

boto を使用して S3 に接続してダウンロードを実行する Python スクリプトを作成しました。そのスクリプトを init.d 構成に接続しました。私のスクリプトは、リモート SSH セッションで手動で実行すると正常に動作しますが、ブート中に実行すると何らかの理由で失敗します。

私のコードでは、次の方法で boto を使用しています。

理論的には、boto 2.6 では、そのコードは AWS メタデータ サーバーに接続して、現在の EC2 インスタンスの IAM ロールに基づいて一時的なセキュリティ認証情報を取得する必要があります。

何らかの理由で、起動中にboto.connect_s3()が boto.exception.NoAuthHandlerFound を発生 させます。

get_auth_handler 関数 (この例外が発生する唯一の場所) で、エラーをboto.auth モジュールまで追跡しました。HmacAuthV1Handler オブジェクトが作成されるときに、アクセス キー ID または秘密キーが None の場合、HmacKeys 基本クラス コンストラクターは失敗します。実際、私のスクリプトで少し実験した後、name='aws' で資格情報を指定せずにboto.provider.Provider クラスのインスタンスを明示的に作成すると、Provider インスタンスの access_key/secret_key フィールドは両方とも None のままであることがわかりました (ただし、起動時のみ; 後でスクリプトを手動で実行すると、資格情報が初期化されます)。それでも、メタデータ サーバーが原因ではないことはわかっています (GET は、起動中であっても、期待される資格情報を実際に返します)。

だから...何が間違っている可能性がありますか? それはbotoの問題でしょうか？設定の問題？それとも、私は何か間違ったことをしていますか？一体、起動中のUbuntuがそのような操作に対して「適切な状態」にない可能性がありますか?

- - 編集 - -

以下の garnaat の回答のおかげで、ブート中とリモート SSH セッション中の python パス (sys.path) が完全に異なることが問題であることがわかりました。

起動中:

SSH セッションから実行する場合:

(ベース イメージとして 32 ビットの BitNami DjangoStack 1.4.2-1 イメージを使用しました。)

私は、非常に一般的なユースケースであるべきだと思うことに触れている投稿をたくさん読んできましたが、私が望むものや、それができない単純な理由を正確に見つけることはできませんでした.

S3にいくつかのファイルがあります。私が構築したフロントエンドを介して、特定のユーザーに特定のファイルへのアクセスを許可できるようにしたいと考えています。

これまでのところ、私はそれを次のように機能させました：

• 組み込みのユーザーとグループを使用して、Djangoでフロントエンドを構築しました
• S3 バケットをミラーリングするバケットのモデルがあります。
• S3 権限を表すグループからバケットへの m2m 関係があります。
• ユーザーはログインし、Django のユーザーに対して認証を行います。
• ユーザーが表示できるバケットのリストを Django から取得します。
• boto を使用して、それらのバケットからファイルへのリンクのリストを取得し、ユーザーに表示します。

これは機能しますが、理想的ではなく、気分も良くありません。バケットのミラーを保持する必要があり、AWS にすべてが組み込まれている場合、ユーザー/パスワードとアクセス許可の独自のリストも維持する必要があります。

私が本当に望んでいるのは、IAM でユーザーを作成し、IAM でグループ権限を使用して S3 バケットへのアクセスを制御することです。データや機能の重複はありません。私のアプリはユーザーに UN/PW を要求し、それを使用して IAM/S3 に接続し、バケットとファイルのリストを取得してから、ユーザーへのリンクを表示します。単純。

どうすればできますか、またはなぜできませんか?

私はこれを間違った方法で見ていますか？

これに対処する「正しい」方法は何ですか (私は推測します) 非常に一般的なユースケースですか?

Java経由でAWSにアクセスするために使用しているクレデンシャルのアクセスキーにユーザー名を付ける方法はありますか？[ IAMユーザー]セクションで定義されているユーザー名を取得して、ユーザー固有のバケット/フォルダーを設定し、アクセスキーのユーザー名に基づいてスクリプトを動的にポイントできるようにしたいと思います（変更できるように将来、必要に応じて、バケット/フォルダ名を変更せずにキーにアクセスします）。

バケット内に論理フォルダーを作成したいが、100 バケットを超えないようにしたい。AWS アカウントが 1 つしかないと仮定すると、アップロードされたドキュメントをそれらの 100 個のバケットに分散させたいと考えています。すべてのバケットに IAM ポリシーを適用して、ドキュメントの作成者のみが複数のユーザーを持ち、アップロードされたドキュメントを表示/削除できるようにするためのベスト プラクティスは何ですか?

わかりました。

ハードコードされたアクセスキーとシークレットキーが存在する場合、ユーザーがS3でプライベートファイルを表示するための認証済みURLを生成することができました。これは次のコードで行われました。

これにより、 https：//s3.amazonaws.com/bucket_name/path_to_file？AWSAccessKeyId = xxxxx＆Expires = 5555555555＆Signature = eBFeN32eBb2MwxKk4nhGR1UPhk％3Dの効果が得られました。残念ながら、セキュリティ上の理由から、構成ファイルにキーを保存することはできません。このため、IAMの役割に切り替えました。今、私は以下を使用してキーを取得します：

ただし、これにより、「指定したAWSアクセスキーIDがレコードに存在しません。」というエラーが表示されます。私の調査から、これは私のIAMキーが実際のキーではなく、トークンとともに使用されているためであることがわかりました。したがって、私の質問は2つあります。

1. プログラムでトークンを取得するにはどうすればよいですか？私が使用できる単純なiamプロパティはないようです。

2. 署名でトークンを送信するにはどうすればよいですか？署名は"".join（["GET \ n \ n \ n"、expiry、 "\ n"、token、filename]）のようになるはずですが、使用する形式がわかりません。

どんな助けでも大歓迎です。

A には、パブリック読み取りポリシーが設定されたバケットがあります。ここで、一部の IP アドレスからのみアクセスできるように、一部のオブジェクトへのアクセスを制限したいと考えています。これは可能ですか？

CloudFrontも追加する予定です。各オブジェクトで同じ設定を維持するにはどうすればよいですか?

ありがとう！

私は現在、多数の IAM ユーザーがいるプロジェクトに取り組んでおり、各ユーザーは特定の SQS キューへのアクセスを制限する必要があります。

たとえば、「Bob」という名前の IAM ユーザーと「BobsQueue」という名前の SQS キューがあるとします。私がやりたいことは、Bob に自分のキュー (BobsQueue) を管理するための完全なアクセス許可を与えることですが、次のように使用を制限したいと思います。

• Bob は、BobsQueue に対して 1 秒あたり 10 個の SQS リクエストしか作成できません。
• Bob は、1 か月あたり 1,000,000 を超える SQS リクエストを行うことはできません。

基本的に、この SQS キューに任意の使用制限を適用したいと考えています。

何か案は？