如何根据策略对IAM访问APIGateway进行白名单
IAM(Identity and Access Management)是一种云计算服务,用于管理用户和资源的访问权限。APIGateway是一种云服务,用于构建、部署和管理应用程序的API。
根据策略对IAM访问APIGateway进行白名单可以通过以下步骤实现:
- 创建IAM策略:首先,需要创建一个IAM策略,该策略将定义对APIGateway的访问权限。可以使用JSON格式来定义策略,包括允许或拒绝的操作、资源和条件。
- 定义白名单:在策略中,可以定义一个白名单,以限制对APIGateway的访问。白名单可以基于IP地址、用户、角色或其他条件进行定义。例如,可以指定只有特定IP地址范围的请求才能访问APIGateway。
- 关联策略:将策略与IAM用户、组或角色关联起来。这样,当用户、组或角色尝试访问APIGateway时,系统将根据策略进行授权决策。
- 测试访问:在配置完成后,可以测试访问APIGateway。根据策略定义的白名单,只有符合条件的请求才能成功访问APIGateway,其他请求将被拒绝。
腾讯云提供了一系列与IAM和APIGateway相关的产品和服务,可以帮助实现上述需求:
- 腾讯云CAM(Cloud Access Management):用于管理和控制用户的访问权限,可以创建和管理IAM策略,并将其与用户、组或角色关联。
- 腾讯云APIGateway:提供了构建、部署和管理API的全托管服务,可以通过控制台或API进行配置和管理。
- 腾讯云VPC(Virtual Private Cloud):提供了虚拟网络环境,可以在VPC中配置安全组规则来限制对APIGateway的访问。
- 腾讯云WAF(Web Application Firewall):用于保护Web应用程序免受常见的Web攻击,可以配置WAF规则来限制对APIGateway的访问。
请注意,以上提到的腾讯云产品和服务仅作为示例,其他云计算品牌商也提供类似的产品和服务,可以根据实际需求选择适合的解决方案。
相关·内容
我试图找出我的一个用户的IAM策略的一个问题。我的策略是,如果服务不在我们的列表中,拒绝访问。我正在尝试允许我的用户访问我的所有行动的过道。我提供了以下政策。但它拒绝了除GET、OPTIONS和HEAD以外的所有行动的访问。我有野生字符*在开始,将个别行动覆盖野生字符设置。我试着理解IAM的评价顺序。单独的操作是否覆盖*
{
"Statement": [
{
"Resource": "*",
"Effect": "Deny",
浏览 3提问于2017-02-13得票数 0
我是AWS的新手,并且已经继承了一个现有的项目。
该项目采用Vue.js作为前端,数据存储在DynamoDB中。用户身份验证是使用Cognito完成的,并附加了IAM角色。通过不同的角色,通过APIGateway和Lambda从数据库中检索数据。
前端角色
可信实体:cognito-entities ty.amazonaws.com
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Acti
浏览 1提问于2017-10-10得票数 0
2回答
我正试图在一个ApiGateway的基础上创建一个简单的DynamoDB,以便为用户添加一个端点,以便用户通过这个端点访问数据。
集成型AWS服务
eu-west-1
AWS服务DynamoDB
AWS子域
HTTP方法GET
动作ListResources
执行角色iam
凭据缓存不向缓存键添加调用者凭据。
内容处理通通
当我单击测试按钮时,我得到:
由于配置错误,执行失败: API网关没有权限承担所提供的角色
到处查过了,但对这个问题一无所知。我试图更改IAM用户的权限,并授予他所有的Dynamo和APIGateway权限,但没有改变。
浏览 5提问于2017-03-08得票数 0
有人告诉我,与第三方共享IAM角色比共享IAM密钥更安全。目前,我们限制IAM密钥与IP过滤器,许多条件的访问控制。
为什么分享我的角色会更好。我的理解是,他们可以使用他们的角色在有限的时间内从类似的boto3 api中获得特权。但是,如果他们能够毫无限制地承担这一角色,那么密钥又有什么安全好处呢?
浏览 1提问于2019-05-29得票数 0
回答已采纳
3回答
在控制台中,docs非常清楚地做了这件事,但是在CDK中复制确实很痛苦。
我的问题是如何在CDK中创建一个由s3 (中间没有lambda )支持的Rest,或者至少如何创建apigateway.AwsIntegration。
我尝试过很多事情,却意识到自己是在盲目地编码。我已经在restApi、lambda、sqs、dynamoDB、s3之间进行了多次集成,它们都非常容易。但是直接将API与S3集成在一起会让我大哭一场。
我需要一个restAPI将请求有效负载直接存储到S3桶中。
这就是我已经尝试过的:
在RestApi中添加策略:
const apiResourcePolicy = new
浏览 3提问于2020-09-11得票数 11
回答已采纳
我的KMS键上有一个资源策略,允许访问根帐户和Jenkins (角色A)中使用的一些额外的IAM角色。
我能够为用户(用户B)更新IAM策略,该策略允许访问KMS密钥ARN和KMS:* action。这使IAM用户能够访问所需操作的密钥。
从我正在阅读的文档中,我假设需要更新KMS关键资源策略以允许访问密钥,但似乎更新IAM用户的策略允许访问。
我如何保护我的KMS密钥,使KMS密钥资源策略成为允许哪些用户/角色访问密钥的真相来源?是否需要对KMS密钥策略设置显式拒绝,并为允许访问的用户/角色设置排除条件?
我现在观察的是KMS关键策略和IAM用户策略的预期行为吗?这是由于IAM用户的策略对密
浏览 6提问于2022-09-08得票数 1
回答已采纳
2回答
我们需要创建一个允许访问客户端S3帐户中存储桶的IAM用户(前提是他们也允许我们访问这些存储桶)。
我们已经使用以下内联策略在帐户中创建了一个IAM用户:
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObjectAcl",
浏览 3提问于2015-04-21得票数 2
回答已采纳
我正在尝试通过CloudFormation创建IAM角色,但在尝试将QueuePolicy资源附加到IAM::Role资源时遇到此错误。
ARN stack-personSQSPolicy-3F02ILJ96DB1 is not valid. (Service: AmazonIdentityManagement; Status Code: 400; Error Code: InvalidInput; Request ID: 4410ba76-30ce-4d15-be3c-6d5040f971f0)
以下是我的CloudFormation角色和策略定义:
APIGatewaySQSRole:
浏览 9提问于2020-02-25得票数 0
回答已采纳
我想拒绝对AWS网关的公共访问,并且只允许在调用带有特定角色的API时进行访问。在我的测试中,有两个网关,其中一个调用另一个:
Public Gateway -> Private Gateway
我希望能够在浏览器中访问公共网关端点并接收一个2XX响应,当直接访问私有网关时,我应该会收到一个4XX响应。访问私有网关的唯一方法应该是通过公共网关(它通过每个端点代理私有网关)。
我尝试过好几种政策。所有这些都会导致公共网关错误日志显示如下:
User:匿名未被授权执行: execute-api:Invoke on resource: arn:aws:execute-api:us-east-
浏览 2提问于2021-01-29得票数 1
回答已采纳
在serverless.yml中使用无服务器插件拆分堆栈并获得此错误
发生错误: IamRoleLambdaExecution -最大策略大小超过角色Vkonnect-dev-ap-1-lambdaRole(服务: AmazonIdentityManagement;状态代码: 409;错误代码: LimitExceeded;请求ID: 51920d55-4b81-4b6c-99f1-d9f0ba087cc2;代理: null)。
当我使用serverless-plugin-custom-roles时,我会得到这个错误
dependency . CloudFormation模板无效:资源之间的
浏览 4提问于2021-09-16得票数 0
回答已采纳
我需要授予特定区域的完全管理员访问权限(所有AWS资源,而不仅仅是少数资源)。下面是配置的IAM策略。无论如何,访问一些其他资源,它会给出错误。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
浏览 0提问于2019-12-17得票数 0
我从CLI运行了以下命令: aws lambda update-function-code --function-name awsLambdaHelloWorld --zip-file fileb://temp.zip
aws apigateway get-resources --rest-api-id XXXXXX
aws apigateway get-method --rest-api-id XXXXXX --resource-id XXXXXX --http-method POST
aws apigateway put-integration --rest-api-id XXXX
浏览 13提问于2020-06-10得票数 0
回答已采纳
我使用cloudformation来定义一个api网关,该网关定义了4种方法: GET、POST、PUT和DELETE。
我想用这4种方法触发我的lambda。当部署此模板时。lambda只使用API网关的DELETE方法显示。
我如何在cloudformation中定义lambda,以便它将采用所有4种方法?
Resources:
lambdaExecutionRole:
Type: "AWS::IAM::Role"
Properties:
Path: /
AssumeRolePolicyDocument:
Version: 2012-10-17
St
浏览 0提问于2019-04-01得票数 4
回答已采纳
我有一个在ApiGateway中启用了AuthorizationType: AWS_IAM的方法。当我在报头中使用编程访问策略为IAM用户提供AccessKey和SecretKey时,这是有效的,但是这只是所需结果的一半。 是否有办法进一步扩展此授权,使其仅允许附加了针对特定API网关方法的策略的IAM用户? 我最初的想法是在API Gateway上有一个资源策略来拒绝所有请求,然后将方法访问策略分配给特定的IAM用户来覆盖它,但是根据Policy Evaluation Logic documentation的说法,任何具有显式拒绝的资源都会覆盖具有允许的资源。 ? 是否可以将API
浏览 47提问于2020-08-05得票数 1
回答已采纳
3回答
我在应用编程接口网关(Auth: AWS_IAM)下设置了一个GET方法,并且有一个带有开发人员身份的Cognito池。我在get方法后面有一个lambda。
当我调用Cognito时,我会获得临时凭证并承担一个角色。我承担的角色有适当的权限执行和访问API网关上的所有内容。
...
{
"Effect": "Allow",
"Action": [
"execute-api:Invoke"
],
浏览 0提问于2016-04-26得票数 1
目前,我们在我们的环境中使用ec2实例。
为了避免向源代码公开凭据,我们使用IAM角色将访问权限委托给用户、应用程序或服务。
然而,在我们的环境中也有一些现场的意图.他们还能像EC2那样使用IAM角色吗?
我知道CodeDeploy支持使用IAM角色注册本地实例,但通过这种方式,可以使用代码部署代理来管理IAM角色以获得凭据。
所以,我的问题是:
CodeDeploy部署的前提实例上的应用程序是如何获得凭据的?例如从S3获取对象..。
我还可以在本地机器和应用程序上使用IAM获取凭据,就像在EC2上那样吗?
浏览 0提问于2018-03-01得票数 1
我必须将保留策略添加到API Gateway Cloudwatch日志,因此我无法使用亚马逊网络服务提供的策略来执行此操作,即arn:aws:iam::aws:policy/service-role/AmazonAPIGatewayPushToCloudWatchLogs 因此,我使用自定义策略创建了自己的角色: ApiGatewayCloudWatchLogsRole:
Type: 'AWS::IAM::Role'
DependsOn: APIGFunctionLogGroup
Properties:
AssumeRolePolicyDocument:
Vers
浏览 12提问于2019-03-21得票数 1
我想创建一个可以访问dynamoDB和其他lambda函数的lambda函数。但是,我不知道如何为SAM制作适当的YAML模板来授予适当的权限。
特别是,我不理解包括权限定义(AWS::IAM::Role,AWS::Serverless::Function,AWS::Lambda::Permission)的令人困惑的3个条目。我应该使用哪个条目来添加必要的权限?
下面是我的YAML。但是创建的my_lambda_role没有AWSLambdaRole策略和针对dynamoDB的策略。因此,lambda无法访问dynamoDB。请告诉我怎么修。
MyLambdaRole:
Type:
浏览 3提问于2021-07-04得票数 0
我是亚马逊网络服务的新手,我已经开发了一个Lambda函数,可以用KmsClient进行加密和解密。 这就是我如何用aws reagion构建KmsClient, final KmsClient kmsClient = KmsClient.builder().region(awsRegion).build(); 我使用信封加密来加密,所以我使用GenerateDataKeyRequest来生成明文的密钥。 GenerateDataKeyRequest generateDataKeyRequest = GenerateDataKeyRequest.builder().keyId(arnKey)
浏览 308提问于2020-07-03得票数 1
回答已采纳
1回答
如何在SAM模板中创建IAM角色类似于我在SAM包中所做的。我试了一下,如下所示:
"lambdaFunctionRole": {
"Type": "AWS::IAM::Role",
"Properties": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
浏览 0提问于2018-01-23得票数 7
回答已采纳
我必须为S3中的文件生成只读和只写令牌。
到目前为止,我已经尝试过:
使用引用中的读和写访问桶创建IAM角色
创建STS客户端
假设STS客户端在步骤1中创建的IAM角色
使用sts客户端生成凭据
这所做的是
允许用户使用令牌访问S3中的文件。
但是,此访问权限不限于只读或只写入。
另外,如果IAM角色可以访问更多的桶,则令牌将访问所有桶。
创建STS客户端
AWSSecurityTokenServiceClient sts_client = (AWSSecurityTokenServiceClient) AWSSecurityTokenServic
浏览 1提问于2019-07-22得票数 1
回答已采纳
我正在学习Terraform,并试图获得正确的语法来为其指定IAM角色权限。我想要这些能力:
可以从我在Terraform中创建的API网关调用Lambda
Lambda可以写入Cloudwatch日志
我有以下内容,允许API网关调用Lambda:
resource "aws_iam_role" "my_lambda_execution_role" {
name = "my_lambda_execution_role"
assume_role_policy = <<EOF
{
"Version&#
浏览 2提问于2019-10-08得票数 5
我有一个IAM组,并附加了策略"AWSMarketplaceFullAccess“。
我确认属于该组的IAM用户可以使用IAM Policy Simulator执行AWS Marketplace.ViewSubscriptions,但是该用户仍然不能从Marketplace映像启动EC2实例。
错误消息为User: arn:aws:iam::****:user/**** is not authorized to perform: aws-marketplace:ViewSubscriptions on resource: *。
我能做什么?
浏览 5提问于2016-12-06得票数 3
我有一个AWS SAM模板,它创建一个显式的lambda和隐式的api网关(通过Events属性)。我需要为lambda和api网关分配特定和不同的IAM角色。虽然从SAM模板语法来看,lambda角色是不言而喻的,但我不知道如何将角色分配给api网关。 例如。 # template.yaml
...
Resources:
MyLambda:
Type: AWS::Serverless::Function
Properties:
FunctionName: very-important-lambda
Handler: src/index.handl
浏览 15提问于2018-12-21得票数 0
回答已采纳
1回答
AWS在下面抛出了一个错误:用户无法访问apigateway:TagResource权限,但是当我检查IAM控制台中的可用权限时,我无法找到任何这样的权限。
xxxx is not authorized to perform: apigateway:TagResource on resource xxx
目前,我已经为该API提供了以下权限。
{
"Effect": "Allow",
"Action": [
"apigateway:DELETE",
"apigateway:P
浏览 0提问于2022-11-15得票数 0
回答已采纳
我一直在试图弄清楚角色需要什么权限才能在AWS APIGateway设置上更新APIGateway ARN。我向测试角色添加了APIGateway、Cloudwatch和CloudwatchLog的完全权限,但仍然无法更新CloudwatchLog。
只添加AdministratorAccess,然后它就起作用了。我不想那样做。我是不是错过了什么。
错误信息
更新APIGateway的Cloudwatch ARN。{ AccessDeniedException: User: arn:iam:user/不被授权访问此资源消息:'User: arn:aws:iam::user/*未被授权访
浏览 7提问于2016-05-06得票数 0
回答已采纳
我的lambda代码:
instances = [aws_instance]
ec2 = boto3.client('ec2',region_name="us-west-2")
if task == 'start':
ec2.start_instances(InstanceIds=instances)
我的IAM用户策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect&
浏览 6提问于2017-01-09得票数 4
回答已采纳
2回答
与IAM政策有何不同?
围绕ECR策略的语言似乎表明它类似于S3桶策略。
它允许您不使用IAM来授予访问权限吗?
如果我想授予另一个帐户访问注册表的权限,我可以使用ECR策略还是仍然需要一个跨帐户角色?
浏览 0提问于2018-07-10得票数 2
我有几组用户(他们在Cognito中有自己的身份池),他们对API Gateway中的端点具有不同的权限。我使用IAM角色管理访问权限。例如,我对一个身份池使用此策略:
{
"Sid": "Stmt1467885818000",
"Effect": "Allow",
"Action": [
"apigateway:Invoke"
],
"Resource": [
"arn:aws:execute-api:
浏览 2提问于2016-07-07得票数 0
我有一个用例,我必须在其他aws帐户中调用api网关rest端点,他们给了我一个角色,
我正在考虑两个选择:
从lambda生成请求,并调用api使用step函数调用api。
Q1。我个人认为备选方案2更好,但你对此有何看法?
Q2。我很难从step函数调用rest端点这里是我的step函数定义
{
"Comment": "A description of my state machine",
"StartAt": "API Gateway Invoke",
"States": {
"A
浏览 8提问于2022-06-21得票数 0
回答已采纳
3回答
我一直在使用AWS,除了IAM角色和权限之外,我似乎什么都能得到。
谁能用最简单的术语向我解释IAM角色是如何工作的,并解释以下术语:StatementId、Action、ARN,最重要的是用简单的英语解释Principal?
给你我困惑的根源,下面是我最近面临的一个问题。我正在尝试创建一个API网关,其中资源的方法触发一个Lambda函数。直到我复制粘贴了这个片段,它才起作用:
$lambdaClient->addPermission([
'FunctionName' => 'fn name',
浏览 5提问于2017-10-26得票数 6
回答已采纳
2回答
问题-为什么jq生成带有值的行,而不是生成内置的json数组?(我尝试过使用[.[]],但没有成功)
代码片段@ -
The挑战性-生成允许的Action (Effect == Allow)数组。
IAM政策(投入)
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "cloudformation:UpdateStack",
"Resource": "
浏览 3提问于2021-04-28得票数 0
回答已采纳
1回答
我有一个使用APIGateway和Lambda的无服务器后端。这是我的建筑:
目前,任何有我的APIGateway URL的人都可以查询或修改数据。如何保护URL,以便只有客户端(React)才能访问它。因此,我担心的是,任何人都可以在铬控制台中打开网络选项卡,并获得我的APIGateway的URL,并可以使用curl或postman。我想阻止这一切。
我脑子里有个解决办法:
设置一个CORS,这样只有源才能访问它。但是,我有一个不同的lambda调用这个URL。所以,CORS不会成功的。
我确信APIGateway本身有一些方法。我没有得到正确的搜索词,以获得它从AWS文档
浏览 0提问于2017-06-30得票数 2
回答已采纳
有什么问题吗?
我的IAM用户有两个策略:AdministratorAccess和ForceMultiFactorAuthentication.当附加ForceMultiFactorAuthentication策略时,在Windows命令行中,当试图对存储库(例如:git clone ..)做任何操作时,我会得到403个错误。当我删除策略时,我可以使用回购(例如:git clone工作)。
我的问题
关于我的ForceMultiFactorAuthentication策略,是否有什么东西可以阻止协解操作呢?如何使用多因素身份验证正确设置CodeCommit?
一般康乐步骤
使用Admini
浏览 0提问于2021-05-30得票数 4
回答已采纳
1回答
AWS中的控制角色权限
、、、
我是AWS的新手。我正在使用Spring引导开发一个应用程序。我使用AWS cognito作为登录和注册。我在中创建了一个名为ROLE_ADMIN_IAM的组,并与IAM角色连接,这也是由我作为ROLE_ADMIN_IAM创建的。
我使用AWS Api gateway (HTTP,但类似的REST )与Apis通信。然后,将认知jwt授权程序集成到Api网关.中。
一切都很完美。我现在面临的问题是,当一个用户登录时,我需要根据他在认知群中的角色来阻止几个Apis。因此,我试图将策略附加到IAM角色(ROLE_ADMIN_IAM已经创建),但它不起作用。这就是我附在ROLE_ADMIN_IAM上
浏览 1提问于2020-11-09得票数 0
我不明白AWS IAM身份中心背后的逻辑。我试图从IAM移动到IAM身份中心,联合访问多个帐户。“标准”IAM允许在每个用户级别上定义,我不知道如何在IAM身份中心进行定义。
使用标识中心,我将权限集分配给帐户,然后将用户/组分配给帐户。
如果权限集是按帐户分配的,而不是用户级别,那么如何定义每个用户拥有哪些权限集呢??
这是一个截图:
控制台说我可以将权限分配给一个组。
但是,当我开始分配权限集时,它们只分配给帐户。因此,在访问帐户Y时,不能说用户X只能是PowerUser,而不能是管理员
浏览 6提问于2022-11-12得票数 0
我有一个带有CodeBuild stage的CodePipeline管道 下面是我的构建规范: {
"version": "0.2",
"phases": {
"build": {
"commands": [
"echo \"Hello, CodeBuild!\"",
"echo \"ca marche\" > test.txt",
"mkdir site-co
浏览 35提问于2021-02-03得票数 1
回答已采纳
1回答
我正在创建一个API,该API只接受来自GitHub Web钩子服务器的请求,方法是在GitHub IP中使用资源策略。我已经成功地使用控制台并手动创建了资源策略,但在使用CDK时遇到了问题。
这是我的密码:
delete_trigger_integration = aws_apigateway.LambdaIntegration(
trigger_step_lambda, proxy=False, integration_responses=[])
api_policy_document = aws_iam.PolicyDocument()
api = aws_apigatewa
浏览 1提问于2019-12-13得票数 7
回答已采纳
我试图将在亚马逊网络服务中创建ES域所需的权限授予IAM帐户,但除了AdministratorAccess之外,我找不到任何可附加的现有策略。是否有可分配给IAM帐户的自定义策略或内容?我在网上搜索,但也找不到任何有用的东西。
浏览 1提问于2020-05-23得票数 0
这是我当前使用的角色,它是通过IAM控制台创建的。
然后,我尝试使用下面的教程中的cloudformation创建另一个具有相同权限的角色。
但是,在创建角色之后,我发现所有策略都是内联策略。
和我现在的角色在权限上有什么区别吗?
我使用Role.json作为堆栈的模板。
Role.json
{
"AWSTemplateFormatVersion": "2010-09-09",
"Resources": {
"LambdaRole": {
"Type": "A
浏览 0提问于2020-10-27得票数 1
1回答
我想在AWS中创建我的秘密管理器的IAM策略,以限制对管理组的访问。但是在IAM策略中,我不能为IAM组创建一个具有单一访问权限的条件。我可以限制特定的用户,一个角色,但不是一个群体。
我发现您可以限制为一个角色,然后管理员可以创建一个临时链接,用户可以临时附加一个小时的角色权限。链接:.但我不认为这是我的最佳选择。
浏览 2提问于2021-10-06得票数 0
回答已采纳
我现在正在尝试使用AWS S3。
我创建了一个没有“权限策略”的IAM用户。
S3的桶策略设置如下。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SpecificIAMPermission",
"Effect": "Allow",
"Principal": {
"AW
浏览 0提问于2020-08-01得票数 0
回答已采纳
2回答
我有一个部署为aws lambda的小型web应用程序,当通过lambda管理控制台进行测试时,它可以正确运行。但是,通过apig控制台运行测试时会出现以下错误: Sun Jan 26 21:43:30 UTC 2020 : Execution failed due to configuration error: Invalid permissions on Lambda function 但是,为apig提供了execute权限: apiGatewayRole:
DependsOn:
- squashApp
Type: "AWS::IAM::Role
浏览 10提问于2020-01-27得票数 0
2回答
如何将S3读取权限设置为只有IAM用户才能访问?我的IAM用户配置在我的混合应用程序的后端,但我仍然无法访问S3列表。
这是我的水桶政策
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowPublicRead",
"Effect": "Allow",
"Principal": {
浏览 2提问于2021-01-28得票数 1
回答已采纳
我有一个lambda函数和一个apigatewayv2。我正在通过terraform创建一切,如下所示。 resource "aws_lambda_function" "prod_options" {
description = "Production Lambda"
environment {
variables = var.prod_env
}
function_name = "prod-func"
handler
浏览 30提问于2021-11-03得票数 0
您好,我需要为API网关启用cloudwatch日志。我们使用cloudformation来描述基础架构。正如中所说的,我需要创建角色在我的案例中,我创建了这样的角色:
ApiGatewayCloudWatchLogsRole:
Type: AWS::IAM::Role
Properties:
AssumeRolePolicyDocument:
Statement:
-
Action:
- "sts:AssumeRole"
Effect: "A
浏览 0提问于2018-05-29得票数 1
5回答
通过提供一个新的IAM角色,我无法在中启用对CloudWatch日志的写访问。
我查了几本教程,检查了所有的东西。甚至将AdministratorAccess策略附加到我的IAM角色,并检查The identity provider(s) apigateway.amazonaws.com是一个受信任的实体。
但是,如果我试图在API网关中启用日志时仍然失败:
角色ARN没有将必需的权限设置为API网关
浏览 8提问于2017-11-27得票数 10
回答已采纳
1回答
了解kms策略?
、、
我有一个名为group-dev的IAM组和几个连接到此组的用户,我有自定义的IAM策略(如下所示)。仅此IAM策略是否足以让该组中的用户加密并列出kms密钥?
基本上,我的目标是创建IAM组,将策略附加到几个用户,当添加新用户时,我不想做重复的工作,比如将他们添加到组中,然后将他们添加到kms密钥策略中。那么,它是否适用于以下策略?
IAM组内联策略
{
"Action": [
"kms:List*",
"kms:Encrypt",
"kms:Decrypt",
浏览 24提问于2020-07-31得票数 3
回答已采纳
我想为IAM新用户写一份政策,这样他就可以完全访问亚马逊网络服务,如EC2,RDS,Cloud Front,S3等。但他应该只能查看(描述)和管理他启动的实例/服务。他看不到其他用户创建的其他现有/未来实例/服务。这种情况发生在一家想要将一些项目外包给外包公司的公司。因此,新的IAM用户用于提供对外包公司的访问权限,以便在属于该公司的AWS中设置试运行和生产环境。我如何才能做到这一点?谢谢。
诚挚的问候,
标记
浏览 1提问于2015-09-29得票数 2
我已经创建了一个嵌套的IAM堆栈,它由3个模板组成:- iam -policies - iam-roles -iam user/groups
主堆栈模板如下所示:
Resources:
Policies:
Type: AWS::CloudFormation::Stack
Properties:
TemplateURL: https://s3.amazonaws.com/xxx/iam/iam_policies.yaml
UserGroups:
Type: AWS::CloudFormation::Stack
Properties:
浏览 0提问于2018-09-10得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
