問題タブ [aws-access-policy]

AWS Elasticsearch をセットアップした後、Logstash と Kibana プロキシを静的 IP サーバーにインストールし、このドメイン アクセス ポリシーを ES に追加しましたが、正常に動作しています。

ここで、Lambda 関数がes:ESHttpDeleteAWS ES でアクションを実行できるようにする必要があるため、既存のロールを使用して関数を作成し、IAM 管理コンソールから関連イベントをservice-role/Elasticsearchコピーして AWS ES アクセス ポリシーに追加し、次のようにしました。ARN

問題は ES にあります。静的 IP または ARN のドメイン アクセス ポリシーを選択する必要がありますが、両方を選択する必要はありません。コンソールを使用せずに手動でマージしようとすると、機能しませんでした。AWS のドキュメントを確認しましたが、それが可能かどうかについては言及されていませんでした。

PHP を使用してカスタム ポリシーで署名付きの CloudFront URL を作成する必要がありますが、何をしても私のポリシーは明らかに「不正な形式」です。関数で生成されたポリシーの例を次に示します。

生成された URL:

コード：

111111111111 と 222222222222 の 2 つのアカウントがあります。

要件 - アカウント 111111111111 は、RDS のスナップショットを毎日作成します。スナップショットが作成されたら、アカウント 111111111111 がアカウント 222222222222 で作成された SNS トピックに発行するようにします。アカウント 222222222222 が通知を受信すると、Lambda 関数を実行します。

アカウント 222222222222 で作成されたトピックに次のポリシーを添付しました。

アカウント 111111111111 が 222222222222 に公開しようとすると、次のエラーが表示されます。

*"message": "AuthorizationError: User: arn:aws:sts::************assumed-role/tf-rds_eventhandler/tf-rds_eventhandler is not Authorized to perform: SNS:Publish onリソース: arn:aws:sns:us-east-1:xxxxxxxxxxxx:RestoreRDSEng\n\tステータス コード: 403、リクエスト ID: 098f4647-c9ad-51fe-9bc3-17b45deef60e"*

質問:

1. このアプローチに何か問題はありますか？

2. 111111111111 への信頼できるアクセス権を持つアカウント 222222222222 にロールを作成する必要がありますか?

3. 他の提案をいただければ幸いです。

送受信できるサービスへのアクセスを制限したい SQS があります。

読んで試してみたところ、SQS でアクセス ポリシーを使用することでこれを実行できることがわかりました。

私が書いたポリシー：

このポリシーは SQS に添付されています。

テストに使用した 2 つの異なる EC2 インスタンスに追加された 2 つのロール。今でもメッセージを送受信できる場所の両方。理由がわからない？

私のポリシーは間違っていますか？または、ドキュメントを誤解していますか?

明確化: 1 つの instance/securitygroup/iam-role がメッセージを送信し、1 つの instance/sg/iam-role が受信できるようにするポリシーが必要です。

どの aws サービスも AcceeDenied Exception をスローできます。次のようにログに記録されます。

クラウド ウォッチ ログには次の情報が表示されます。

まず、スタック トレースはどこにあるのでしょうか。:)

次に、どのリソースと操作が要求されたかを判断する方法はありますか? (いくつかの連鎖的な約束があり、何が間違っているかは不明です)

新しくアップロードされたすべてのキーを特定のバケットにデフォルト設定して、bucket-owner-full-controlacl 権限を持つことは可能ですか?

ドキュメントでこれを見つけることができませんでした。