問題タブ [amazon-iam]

seam アプリケーションで認証方法を変更しようとしています。現在、認証にログインフォームを使用しています。将来的には、認証されたユーザーのユーザー名を含む特定の HTTP ヘッダーを使用してすべての要求を書き換える別のレイヤーに認証を委任したいと考えています。

奇妙な問題に直面しています。ログイン ページを使用して認証を行うと、entityManager を介してユーザーを抽出できます。しかし、ヘッダーの情報を使用して entityManager を照会すると、ユーザーが見つかりません。entityManager は、ユーザーが存在しないように動作します。

私はすでに2つのアプローチを試しました：

• 認証プロセスをトリガーする偽のログイン ページの作成
• リクエストを取得して認証プロセスを開始するサーブレットを作成する

どちらの場合も、entityManager からユーザーが返されません。

seam が永続化コンテキストを管理する方法についてはよく読みましたが、この問題を明確にする説明は 1 つも見つかりませんでした。あなたはなにか考えはありますか？提案？または推測しますか？

entityManager を使用するコードは次のとおりです。

永続コンテキストの構成は次のとおりです。

次のようにリクエストユーザーヘッダーを取得するページアクション（認証）を実行する空の偽のログインページを作成しました。

事前にThx :-)

Android アプリで S3 からアクセスする必要があるため、IAM ユーザーと 1 つの TVM で次のポリシーを構成していますが、資格情報を保存しようとすると、同じ「500 - サーバー エラー」が発生します。問題についてはわかりませんが、ポリシーの構成が間違っていると思います。

私は初めてですAWS。私のクライアントはAWS、インスタンスをホストするために使用しEC2ます。現在、API アクセスを取得しようとしています。明らかに、これを行うには認証の詳細が必要です。

彼は自分のアカウントで IAM ID をセットアップしてくれたので、AWSWeb コンソールにログインして EC2 インスタンスを構成できます。しかし、API アクセス キーがどこに表示されているのか、一生わかりません。「マイ アカウント」を表示する権限がありません。表示される場所だと思います。

それで、私が尋ねているのは、どうすれば彼のアカウントから API アクセスを許可できるのでしょうか? IAM ID を使用して AWS API にアクセスするにはどうすればよいですか?

AWS ドキュメントSigning AWS requestsに示されている例に従って、C# で ListUsers 呼び出しを実行しようとしています。署名生成の最終段階まで到達しました (つまり、signature-4 request examplesで指定された署名付きリクエストを送信する準備が整いました)。しかし、以下に貼り付けたコードは、送信時に「不正なリクエスト」例外をスローしています。

私が得る出力は次のとおりです。

私がここで何をしているのか、誰かが私を助けることができますか?

編集：

私は最終的にこれを自分で解決しました。私はそれを以下に変換しなければなりませんでした。（答えはRDS用ですが、違いが何であるかは目に見えると思います）。

バケットdemo.for.customersの下に以下のキーがあります

現在、customer1とcustomer2という 2 人の顧客がいます。これは私が欲しいものです:

1. demo.for.customersバケットのみへのアクセスを許可します。
2. customer1 は にのみアクセスできdemo.for.customers/customer1/、customer2 は にのみアクセスできる必要がありますdemo.for.customers/customer2/。

そして、以下のポリシーでこれを達成することができます (顧客ごとにポリシーを作成しています。そのため、以下の顧客 1 のみにポリシーを貼り付けています)。このポリシーは S3 ではなく IAM で定義しました。

問題：

1. 顧客 1 は、バケットのいずれにもアクセスできませんが、すべてのバケットを見ることができます。私はこれをしたくありません。彼はdemo.for.customersだけを見ることができるはずです
2. Customer1demo.for.customers/customer2もアクセスできませんが、見ることができます。このバケットの下にある他の顧客フォルダーを彼に見せたくないので、これは非常に受け入れられません。

質問:

1. 多くのグーグルを行った後、特定のバケットをリストする方法がないことを知りました。これは本当ですか？
2. ただし、特定のユーザーのバケット内の特定のフォルダーのみを一覧表示する方法を見つける必要があります。どうやってするか？

ありがとう。

定義済みのマシン イメージを実行するための最小限のポリシーを絞り込もうとしています。イメージは 2 つのスナップショットに基づいており、「m1.medium」インスタンス タイプのみを起動したいと考えています。

それに基づいて、このページとこの記事の助けを借りて、次のポリシーを作成しました。

ポリシーは、特定のインスタンスとボリュームを開いたままにして、正確なイメージ、スナップショット、セキュリティ グループ、およびキー ペアを絞り込みます。

here で説明されているように、次のように CLI ツールを使用しています。

は次の~/.aws/configとおりです。

このコマンドの結果は一般的なYou are not authorized to perform this operationメッセージになり、エンコードされた認証失敗メッセージは、私のステートメントがどれも一致しなかったことを示しているため、アクションを拒否します。

に変更すると"Resource": "*"明らかに問題は解決しますが、上記が機能しない理由についてもっと理解を深めたいと思います。これにはある程度の当て推量が含まれることを十分に理解しているので、どんなアイデアでも歓迎します。

AWS IAM ユーザー ポリシーをプログラムで追加および削除していますが、それらのポリシーの適用結果に一貫性がありません。

たとえば、これは成功する場合と失敗する場合があります (私は Java 1.6.6 SDK を使用しています)。

1. 特定のバケットから読み取ることができるユーザーから開始します
2. ユーザー ポリシーをクリアします (ポリシーを一覧表示し、それぞれに対して「deleteUserPolicy」を呼び出します)。
3. ユーザーのユーザー ポリシーがなくなるまで待ちます (空のセットが返されるまで「listUserPolicies」を呼び出します)。
4. バケットから読み取ろうとします (これは失敗するはずです)

#3 と #4 の間にブレークポイントを置いて数秒待つと、ユーザーはバケットから読み取ることができなくなります。ブレークポイントを削除すると、ユーザーはバケットから読み取ることができますが、これは間違っています。

(これは、ポリシーを追加してからリソースにアクセスする場合にも一貫性がありません)

ポリシーの変更が IAM システムだけでなく、コンポーネント (S3、SQS など) に影響を与えた時期を知りたいです。これから領収書または承認を得る方法はありますか？それとも、ある程度の待ち時間がありますか？

ポリシー適用の内部に関する文書はありますか?

(参考までに、 https: //forums.aws.amazon.com/thread.jspa?threadID= 140383&tstart=0 から質問をコピーしました)

aws s3 lsとaws s3api list-bucketsで異なる動作が見られます

これが最初のものです：

したがって、バケットdemo.for.customers内のオブジェクトを一覧表示できます。

ここで、 s3apiを使用して同じことを実行すると、アクセスが拒否されます。

質問: s3api を介してオブジェクトを一覧表示すると、アクセスが拒否されるのはなぜですか。

この問題を提起する理由は、AWS S3 Ruby SDKを使用すると同じ問題が発生するためです。

ただし、aws s3 lsを使用すると問題ありません。

そのため、AWS S3 Ruby SDKとaws s3apiは同じ動作を示しています。そのため、ここではaws s3api CLIの問題のみを貼り付けます。

ところで、上記のすべてのコマンドを実行しているユーザーに適用された IAM ポリシーは次のとおりです。

そして、これはまったく同じエラーを生成するルビーコードです。

出力は次のとおりです。

AWS IAM ポリシーを使用して S3 ファイルを公開する方法はありますか?

S3 には、ACL 権限とバケット ポリシーがあることを認識しています。それらが私の唯一の選択肢である場合、私は確かにそれらの選択肢を喜んで使用します。ただし、可能であれば IAM ポリシーを使用してアクセス許可を制御したいと考えています。

私が理解しているように、IAM ポリシーはユーザー、グループ、およびロールに影響します。この場合、「匿名ユーザー」(別名、認証されていない一般大衆) は、IAM ポリシー作成のオプションではないようです。

IAM を使用して S3 ファイルを公開することは可能ですか (または適切ですか)?