問題タブ [amazon-policy]

ember-cli-deploy と ember-cli-deploy-cloudfront を使用して、ember アプリを AWS CloudFront にデプロイしようとしています。

AWS でバケットとユーザーをセットアップし、ユーザーに AmazonS3FullAccess ポリシーを付与しました。

.env.deploy.productionファイルを次のように設定します。

私config/default.jsはこのように見えます：

ember-cli-deploy、ember-cli-deploy-cloudfrontおよびをインストールしember install ember-cli-deploy-aws-packました。

私が走るときember deploy production

次のエラーが表示されます。

AccessDenied: User: arn:aws:iam::299188948670:user/Flybrary is not authorized to perform: cloudfront:CreateInvalidation

無効化の作成を処理するのは私の理解ember-cli-deploy-cloudfrontですが、このエラーを見たとき、私は AWS IAM コンソールに入り、自分で無効化を作成しました。を実行しようとすると、まだ同じエラーが発生しますember deploy production。

ポリシーがあります: AmazonAPIGatewayInvokeFullAccess とユーザーはこのポリシーに関連付けられていますが、API を呼び出すアクションをシミュレートすると、アクセスが拒否されたと表示されます。

シミュレーターの画像はこちら

特定の VPC (vpc-11111111) 上の EC2 で実行されているインスタンスにのみタグを適用できるようにしたいと考えています。ポリシーを使ってみた

ただし、このポリシーを持つユーザーは、条件を削除しない限りタグを変更できません。

私は何を間違えましたか？

EC2 インスタンスに s3 バケットへのアクセスを許可したいと考えています。

この ec2 インスタンスで、アプリケーションを含むコンテナーが起動されます。現在、s3 バケットに対する権限がありません。

これが私のバケットポリシーです

しかし、バケットに全員がアクセスできる許可を与えるまでは機能しません。

ec2 インスタンス内から s3 バケット内のファイルをカールしようとしましたが、これも機能しません。

Amazon Product Advertising API Scratchpadを使用して、すべてのモバイル製品を取得したいと考えています 。SearchIndex 値で「Electronics」を選択し、特定のモバイル ブランドのブランド名を使用しています。しかし、私は正しい結果を得ていません。Amazon製品広告APIスクラッチパッドを使用して、ブランドごとにすべてのモバイル製品を取得するのを手伝ってくれる人はいますか. 少し早いですがお礼を 。

IAM で特定のログインを持つユーザーのみがアクセスできる、いくつかの Web の小さな Web ページといくつかのドキュメントをホストするバケットを作成しました。これらのユーザーは、この特定のバケットへの (読み取り) アクセス権のみを持つ必要があり、他のバケットは許可されません。理想的には、これらのユーザーは、他のバケットがあることさえ知らないはずです。

このために、IAM で「テスト」ユーザーを作成し、そのユーザーをグループに追加して、以下のようにグループ ポリシーを割り当てました。

1. テスト ユーザーでログインして S3 に移動すると、他のすべてのバケットが表示され、別のバケットをクリックすると「申し訳ありませんが、権限がありません」というエラーが表示されます。これはちょっと機能しますが、理想的には、ユーザーは他のバケットをリストすることさえできないはずです。

2. https://s3.amazonaws.com/my.web.page/index.htmlにアクセスすると、AccessDenied XML メッセージが表示されます。このバケットの HTML ページをブラウザーで開くことができるようにするには、ポリシーをどのように変更すればよいですか。

3. ユーザーは引き続きバケットへの書き込みアクセス権を持っています。読み取りアクセスのみを許可するにはどうすればよいですか?

あなたの助けに感謝します。

10 人の開発者をサポートします。これらの開発者は、分隊と部族 (Spotify など) と呼ばれるものが分かれています。したがって、各部族 (共通のタスクを共有するユーザーのグループのようなもの) には、AWS リソースに対する一連のアクセス許可が必要です。開発者がアプリケーションを (たとえば、Ec2 インスタンスに) デプロイすると、アプリケーションは ec2 インスタンスの役割を引き受けます。この開発者が自分の開発マシンを使用してアプリケーションをテストおよび開発しているとき、ec2 インスタンスなどの aws リソースにアクセスする必要があります。この開発者にユーザーやグループのような権限を与えるか、ec2 インスタンスのようなロールを引き受けさせるのが正しいアプローチでしょうか?

この 2 時間は、特定のロード バランサーのすべての権限をユーザーに付与するポリシーの作成に費やしました。

「123456789012」が正しいことを何度も確認しました。ここから「アカウント ID」属性を取得しました。

「コア」を何度もチェックし、「*」に置き換えようとしましたが、うまくいきませんでした。

また、地域を再確認して、正しい地域であることを確認しました。

一方、ARN全体を「*」に置き換えると機能しますが、これは望ましくありません。ロードバランサーに固有のものにしたいのです。

ありがとう、ガブリエル

ビデオを S3 バケットにアップロードし、別のユーザー (Zencoder サービス用) がファイルを取得してトランスコードされたファイルをバケットにアップロードできるようにするカスタム ポリシーを作成するアプリケーションがあります。

以下は、トランスコーディング中にユーザーに与える現在のカスタム ポリシーです。基本的に、バケット全体に完全な読み取り許可を与えますが、ユーザーが特定のネストされたフォルダーにファイルを PUT することのみを許可します。

これはほとんどの場合機能しますが、Zencoder によって転送された約 1,000 個のファイルの中で、通常、403 Forbiddenエラーで失敗する 1 つまたは 2 つのファイルがあります。エラーの前後にファイルが正しく転送されたため、理由はわかりません。

403 Access Deniedそのようなアクセス許可が提供されたときに、Amazon AWS S3 / IAM が を送信する理由はありますか?

次のバケット ポリシーを使用すると、期待どおりに PUT アクセスが制限されていることがわかります。ただし、この操作を許可するものがないにもかかわらず、作成されたオブジェクトで GET が許可されています。

次のように、curl を使用して<BUCKET>ファイルを PUT することができます。<IP ADDRESS>

ファイルが正常にアップロードされ、S3 コンソールに表示されます。何らかの理由で、インターネット上のどこからでもファイルを取得できるようになりました。

これは、上記の方法を使用してアップロードされたファイルにのみ適用されます。S3 Web コンソールでファイルをアップロードするときに、curl を使用して GET できません (アクセスが拒否されました)。したがって、これはオブジェクト レベルの権限の問題だと思います。バケット ポリシーがこのアクセスを暗黙的に拒否しない理由はわかりませんが。

コンソールでオブジェクト レベルのアクセス許可を見ると、コンソールからアップロードされたファイル (方法 1) と、許可されたものからアップロードされたファイル (方法 2) の唯一の違いは、<IP ADDRESS>方法 2 のファイルには「所有者」がないことです。 、アクセス許可、またはメタデータ - メソッド 1 ファイルにはこれらすべてが含まれています。

さらに、バケットへのフルアクセス権を持つロールを引き受ける Lambda スクリプト (boto3 download_file()) を使用してオブジェクトを取得しようとすると、方法 2 でアップロードされたオブジェクトでは失敗します。方法 1 でアップロードされたオブジェクトでは成功します。