問題タブ [assume-role]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
amazon-web-services - Lambda は、cognito userId 条件で IAM ロールを引き受けることができますか?
アプリケーションのセキュリティが重要な部分に使用する dynamo テーブルがあり、かなり厳格な読み取りアクセス制限があります (ここでは可能な限り厳格にすることを目指しています)。理想的には、そのテーブルへのアクセスを、一致する cognito-userId 先行キーを持つ行のみに制限したいと考えています (このアプローチ: https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_dynamodb_rows.htmlに従います)。残念ながら、私たちの要件は、ラムダ関数が後で値を処理してユーザーに送信するために、ユーザーに代わって値を読み取る必要があるというものです (たとえば、メールを介して)。
現在のセットアップは次のようになっています: その先行キー IAM 条件を使用して IAM ルールを作成し、そのテーブルにアクセスするすべてのユーザーを含むユーザー グループにアタッチしました。これまでのところ、ラムダ関数はコンテキスト オブジェクトからルールをフェッチし、その役割を引き受けます (sts:assumeRole を介して、同じように、両方とも同じアカウントにあります: https://aws.amazon.com/premiumsupport/ knowledge-center/cognito-user-pool-group/、https://aws.amazon.com/premiumsupport/knowledge-center/lambda-function-assume-iam-role/ )ラムダと想定される役割の両方が必要なポリシーなので、これも期待どおりに機能します。次のような静的な値でテストします。
また、必要な資格情報がすべて渡されていること、役割が引き受けられていること、ここまですべてが機能していることを確認します。
残念ながら、${cognito-identity.amazonaws.com:sub}aws-region プレフィックスの有無にかかわらず、主要なキー識別子として実際に使用すると機能しなくなります。したがって、私の質問は、誰かがこれに遭遇したことがありますか? この変数が IAM ルールに置き換えられるのはいつですか? ラムダ関数に渡される前に解決されているか(この場合、その値が入力されることが期待されます)、またはラムダがdynamoにアクセスしている間に置換されていますか(この場合、コグニトユーザーではなくラムダであるため解決されていません)役割を引き受けます)?これを軽減する方法はありますか?どんな助けでも大歓迎です
aws-lambda - assume_role が返されず、ラムダがタイムアウトします (キーワード: aws boto3 sts lambda python3.6)
別のアカウントの S3 バケットにアクセスするために別のアカウントで役割を引き受ける python3.6 AWS ラムダ関数を作成しようとしています。この正確なラムダ関数をローカルで (aws プロファイルを設定して) テストして、クロスアカウントのロールとポリシーが設定され、ローカルで問題なく動作するかどうかをテストしています。ただし、ラムダ内から同じコードを実行すると、 assume_role が返されず、ラムダがタイムアウトしたように見えます。これをデバッグする方法や、何が問題になる可能性があるかについてのヒントをいただければ幸いです。
私のコード:
「==== after_assume_role」が出力されず、エラー ハンドラ (つまりexcept (Exception) as error) が呼び出されず、ラムダがタイムアウトします。
どんなアイデアでも大歓迎です!
ありがとう、コンスタンティン
amazon-web-services - aws:s3 バケットの RequestTag が機能しない (役割を引き受けている間)
私は、私が想定しているIAMロールに次のポリシーを持っています:
役割を引き受ける際に、次のタグを渡します。
しかし、フォルダー「a」の下のオブジェクトを読み取ろうとすると、アクセスが拒否されます。
ロールにタグを追加する際に、ポリシーを「principalTag」に置き換えましたが、機能します。何が間違っていますか?
=====
私が試したもう1つのことは、s3オブジェクトにそのIDと次のポリシーでタグ付けすることです:
動作していません
apache-spark - 複数の s3 ロールを持つ Spark セッション
s3 バケットからファイルを読み取り、フォーマットして、別の s3 バケットに配置する Spark ジョブがあります。これを達成するために、(SparkSession) spark.read.csv および spark.write.csv 機能を使用しています
ファイルを読み取るときは、1 つの IAM ロール (役割を引き受ける) を使用する必要があり、ファイルを書き込むときは、引き受けた役割を削除してデフォルトの役割に戻す必要があります。
これは同じスパークセッション内で可能ですか? そうでない場合、これを行う別の方法はありますか?
どんな助けでも大歓迎です!