問題タブ [amazon-iam]

S3 の変更を担当したユーザーを (バケットレベルで) 確認しようとしています。インスタンスを作成した S3 バケット レベルまたは EC2 で実行されたアクションの監査証跡が見つかりませんでした。Beanstalk には、マシンが実行したアクションのログがありますが、どのユーザーかはありません。

この情報を IAM やその他の場所で見ることができるように、AWS を回避する方法はありますか?

PS: アクセス ログを提供する S3 ログ バケットについては知りません。

ユーザーがホームページからクリックしたアカウントに基づいて、複数のアカウントから IAM 情報にアクセスする必要がある Web アプリケーションがあります。私は現在、.net アプリケーションに使用できるアクセス キーのセットは 1 つだけであるという印象を受けています。また、web.config ファイルに複数のアクセス キーを含めると、最後にリストされたキーが使用されることもわかっています。1 つのアプリケーションに複数のアクセス キーを含める方法を見つけた人はいますか?

It seems really insecure to store permanent IAM access credentials (key, secret) on the instance or any other place.

The way I understood roles - it would make sense if I could manage permissions to perform certain tasks using roles:

• setup the role,setup user group with permission to assume that role, add users to that group
• from command line type something like "ec2_assume_role rolename time_till_expiration"
• then at the prompt enter my username and pwd
• get those temporary keys (could script to set them directly into the env)

From what I found in IAM documentation - assuming role requires a set of keys - so is not really meant for a human. I could setup a server that enables something similar to the above but that server would have to have its own key stored or at least in memory, plus I would have to duplicate username / pwd management that IAM already does pretty well.

Am I missing/misunderstanding something ?

Thank you

IAM ユーザーを作成し、特定のバケットに対するフル コントロール (アクション *) を付与しました。

ユーザーは、このバケットに画像を配置したり、画像を削除したり、サブフォルダーを作成したりできる必要があります (配置の一部になる可能性があると思います)。

今、この IAM ユーザー アカウントのアクセス量を制限したいのですが、上記のアクションが必要な場合に何を制限すればよいか知っている人はいますか?

どのようなアクションが必要ですか?

• s3:putObject
• s3:オブジェクトの削除

他に必要なアクションはありますか? この AWS ページを解読しようとしています: http://docs.aws.amazon.com/AmazonS3/latest/dev/UsingIAMPolicies.html

ありがとうございました

私はS3の使用についていくつかの研究を行っています。私が達成したいのは、基本的に、ファイル システムと同じ方法で S3 バケット内のオブジェクトへのアクセスを制御することですが、IAM フェデレーション ユーザーに対してです。

次のシナリオを想定しましょう

この種の構成は、ACL と Amazon の「ネイティブ」ユーザーおよびグループを使用して実現できます。一方、フェデレーション ユーザーの場合、私が見つけた唯一のことは、割り当てられたバケット ポリシーで一時的なトークンを生成することでした。

私が正しく理解している場合、バケットポリシーは ACL とは逆の方法で機能します (ユーザーがアクセスできるオブジェクトを定義し、ACL はオブジェクトにアクセスできるユーザーを定義します)

私の質問はです。ACL でフェデレーション ユーザーを割り当てることは可能ですか (または他の方法でフェデレーション ユーザーと同じ目標を達成することはできますか)?

グループにユーザーがいるファイルシステムや、どのグループがそれらにアクセスできるかをマークしているオブジェクトのように、同じ動作を達成したいと思います

フィールド「x-amz-meta-seclevels」に、ファイルへのアクセス権を持つグループ (Group1、Group2、admin3rdfloor) が含まれ、提示されたポリシー (これは適切ではありませんが、私の考えを説明したいと思います) が添付されていると仮定します。 IAM フェデレーション ユーザー。x-amz-meta-seclevels フィールドに admin3rdfloor 値を含むすべてのファイルへのアクセスをこのユーザーに許可できます。

}

これは何らかの方法で達成可能ですか？

事前に助けてくれてありがとう！

Amazon S3のプライベート コンテンツをメンバーと共有したいと思っています。最初は、AWS Identity and Access Management (IAM)ユーザー アカウントを作成してそれを行いましたが、人々はこれらの認証情報を渡し始めました。

そのため、 IAM を介して作成された各ユーザー アカウントにAWS Multi-Factor Authentication (MFA)トークン/フォブを配布できることがわかりました。ただし、テストの結果、ファイルをダウンロードできることが明らかになりました。S3 は、トークン/フォブによって生成された 6 桁の番号を要求しません。

ここで何が欠けていますか？または、間違った道をたどった場合は、これらの資格情報を共有しているメンバーを検出/防止する方法を提案してください。ありがとう

C# を使用して値がテーブルに正常にアップロードされたかどうかを確認する必要があります。テーブルはハッシュと範囲を使用します。現在、queryrequest->queryresponse->queryresult を使用して、結果が null かどうかを確認します。ただし、これの問題は、テーブル エントリ全体 (つまり、すべてのフィールド) がプログラムに返されることです。これは十分に安全ではありません。

AWS IAM アクセス ポリシーを確認しましたが、「getitem」をフィールド レベルに制限することはできず、テーブル レベルにのみ制限するようです。

ユーザーがテーブルからハッシュ/範囲を取得することのみを許可する IAM アクセス ポリシーを設定する方法について何か提案はありますか?

Amazon の Security Token Service を使用して一時ユーザーを作成し、S3 バケットのサブディレクトリにアクセスするアプリを構築しています。ユーザーは、バケットへの完全な読み取り/書き込みアクセス権 (およびユーザーの作成に必要なアクセス許可) を持つ IAM ユーザーによって作成されます。

ユーザーの作成はセッションの有効期限などと一緒に完全に機能していますが、キーのプレフィックスベースのリストを許可する適切なポリシーを適切に設定するのに問題があります。エンド ユーザーに付与する権限は次のとおりです。

1. 定義された接頭辞にあるオブジェクトを読み取る
2. 同じ定義済みプレフィックスにオブジェクトを書き込む
3. 定義されたプレフィックスに存在するすべてのオブジェクトをリストします

なんとか読み書きはできましたが、何を試してもリストへのアクセスが正しく機能しません。一番近くにいたときに使用していたRubyコードは次のとおりです。

思い出すと、これにより読み書きはできましたが、一覧表示はできませんでした。私はまだ開発中なので、コードを次のように変更しました。

これは 100% うまく機能しますが、ユーザーが互いの作業を上書きすることを可能にするプレフィックスに制約されるものは何もないという明らかな問題があります。

ポリシーで何が間違っていますか?

Java で独自のレポート作成ソフトウェアを作成しており、データ ストレージに RDS を使用する予定です。AWS IAM で AA を行いたいと考えています。AWS Identity and Access Management を使用した認証と承認の例で、知っていて私と共有できるものはありますか?

Amazon のコンソールからユーザーをセットアップする方法や、コンソール コマンドを発行する方法については調べていません。代わりに、ユーザーが資格情報 (ユーザー ID、パスワードの組み合わせ) で認証されているかどうか、およびそのユーザーが特定のレポートへのアクセスを許可されているかどうかを識別する方法を Java コードで確認したいと思います。

CloudFormation テンプレートを作成し、IAM ユーザーを作成するために、次の JSON 文字列を使用しました。

次に、グループにこれを使用しました：

スタックを作成した後、次のようになりました。

ユーザー名 - IAMUsers-CFNUser-E1BT342YK7G6

グループ名 - IAMUsers-CFNUserGroup-1UBUBRYALTIMI

私の質問は、ここでユーザー名を設定するにはどうすればよいですか? グループ名も同じ？