問題タブ [amazon-iam]

Amazon Elasticbeanstalk でホストされているウェブサイトがあり、https と SSL 用に設定する必要があります。「DNS プロバイダーでカスタム ドメインを作成する」の下のリンクの最初の手順を完了しました。

http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/configuring-https.html

これで、私の amazon elasticbeanstalk サイト example.elasticbeanstalk.com にカスタム ドメイン example.com ができました (これには Amazon Route 53 を使用しました)。

上記のリンクからステップ 2 を実行し、次のリンクの指示に従います。

http://docs.aws.amazon.com/IAM/latest/UserGuide/InstallCert.html

Amazon IAM にアップロードする必要がある privatekey.pem と server.crt を作成しました。IAM にアップロードする次のコマンドの形式を入力する際に​​助けが必要です。私の privatekey.pem と server.crt は、MAC の Users/Kash にあります。

aws iam upload-server-certificate --server-certificate-name CertificateName --certificate-body file://public_key_certificate_file --private-key file://privatekey.pem

次のように入力しましたが、「キーワードは文字列でなければなりません」というエラーが表示されます

aws iam upload-server-certificate --server-certificate-name "TestCert" --certificate-body file://server.crt --private-key file://privatekey.pem

端末でコマンドを入力することに慣れておらず、助けが必要です

新しいユーザーにアクセス権を付与しようとしているバケットがあります。新しいアクセス許可またはポリシーが古いアイテムに適用されません。

この iam ユーザーにすべての s3 アイテムへのアクセスを簡単に許可する方法はありますか?

S3 IAM ポリシーを使用して、ペーパークリップでアップロードを行うことができません。jQuery の直接アップロード (ペーパークリップなし) にも問題があります。私のシナリオは次のとおりです。多くのサイトを持つアプリケーションがあります。各サイトには独自のバケットがあり、他のサイトではなく、独自のバケットにのみアクセスできる必要があります。IAM サンプル ポリシーのドキュメントでは、「例: 各 IAM ユーザーにバケット内のフォルダーへのアクセスを許可する」の下で何をしたいのかを正確に説明しています。アプリケーション用に設定された IAM グループがあり、グループ内のサイトごとに 1 人のユーザーがいます。これらの IAM ユーザーはグループに属しています。グループのポリシーは次のとおりです。

バケットの CORS 構成は次のとおりです。もちろん開発用です。後でロックダウンされます。

ペーパークリップの設定は次のとおりです。

以前はバケットでポリシーを直接操作していましたが、これは機能しましたが、多くの「サイト」を含む実稼働環境に移行するときに必要なほど柔軟ではありませんでした。私が知る限り、私はドキュメントに正確に従っていますが、何をしても「アクセスが拒否されました」という結果になります。この時点では、問題が IAM ポリシーにあるのか、Paperclip 構成にあるのかさえわかりません。

編集：明確化。

編集2：最終的な解決策

この記事に基づく最終的な IAM ポリシーは次のとおりです。

そして私の更新されたペーパークリップ設定：

ペーパークリップ パスにユーザー名を含めることが重要でした。私は Amazon が認証情報からそれを推測すると思っていましたが、そうではありません。

経理担当者が支払い方法を管理し、使用状況のみを監視できるようにするポリシーを探しています。そのような政策を構築することは可能でしょうか？

ありがとう

私がやりたいことは、特定のフォルダー (アーカイブ) の内容を除いて、バケットのすべての内容を一覧表示することです。問題は、バケットを「ls」するときに、「アーカイブ」フォルダーからもファイルを取得することです。これは私の現在の設定です：

IAM 資格情報の新しいセットを作成し、新しい S3 バケットを作成し、その IAM アカウントに S3 バケットへの読み取り/書き込み専用アクセスを付与することになっています。

これを行う最も簡単な方法は何ですか？

クライアント (Windows 7/8、iPad など) に S3 リソースへのフェデレーション アクセスを提供する必要があるサーバーを実行している Amazon EC2 インスタンスがあります。これまでに、次のものを作成しました。

• サーバーが S3 リソースやその他の Amazon Web サービスに対して持つアクセスを制限する IAM ロール。
• STS サービス、つまり GetFederationToken を使用できる IAM ユーザー。

通常、クライアントはオブジェクトを S3 に取得または配置するためのアクセスを要求し、決して削除しません。したがって、ファイルを配置する場合、クライアントにファイルをサーバーにアップロードしてからサーバーから S3 に転送させるのではなく、クライアントがファイルを適切な S3 バケットに直接配置するための一時的なアクセス資格情報を提供したいと考えています。 .

EC2 インスタンスの IAM ロールは次のようになります。

STS トークン発行者の IAM ユーザー ポリシーは次のとおりです。

サーバー側のコードでは、STS クライアント、フェデレーション トークン要求を作成し、次のように GetFederationToken 呼び出しを行います。

Generate* 関数の実装を共有することはできませんが、それらが機能することはわかっています。

これが奇妙なことです。上記の EC2 インスタンス ロールとまったく同じように見えるアクセス ポリシーを持つユーザーに関連付けられた IAM ユーザー資格情報を使用すると、すべてが期待どおりに機能し、クライアントは期待されるすべての S3 アクションを実行できます。

これらすべての背景を踏まえて、私の質問は次のとおりです。特定の役割を与えられた EC2 インスタンス上のアプリケーションは、クライアントへのフェデレーション アクセスを引き続き提供できますか? もしそうなら、上記のポリシーは、それらの AWS アクションへのアプリケーション アクセスを許可すること、つまり、S3 リソースにアクセスできる sts フェデレーション トークンをリクエストして提供することについて正しいですか? そうでない場合、そのようなアクセスを許可するにはどのように変更する必要がありますか?

そのため、AWS の IAM インフラストラクチャを使用するモバイル アプリを使用して、匿名のモバイル デバイスに一時的なアクセス トークンを効果的に提供し、モバイル デバイスから直接 AWS サービスに対してクエリを実行できるようにしています。

Windows Azure にもこの種の代替品があるかどうか知っている人はいますか? Windows Azure Access Control について読んだことがありますが、すべての例は、Facebook、Twitter、Windows Live などを介した認証を許可することに焦点を当てているようです。私の場合、モバイル ユーザーが「ログイン」する必要はありません。どこにいても、サーバーを介さずに、テーブル ストレージなどの Azure サービスにアクセスできるようにしたいだけです。

ありがとう！