问题标签 [amazon-iam]

我有一个具有管理员访问权限的 IAM 用户。此用户无法访问帐户活动或帐户使用页面。他们看到“权限被拒绝”消息“您没有查看此页面内容所需的权限”。这些是我为授予他们访问权限所遵循的步骤：

• 从 root 帐户登录。
• 配置了我的安全问题。
• 激活 IAM 用户对 AWS 网站的访问。
• 为用户添加了以下策略：

a) 对于帐户活动访问

b) 对于帐户使用权限

但是用户仍然无法访问帐户活动和帐户使用页面。

谁能告诉我这里有什么问题？

让我先解释一下我的问题。我从 CA 购买了证书并使用以下格式生成 csr 和私钥：

当我打开 server.key 文件时，我看到它以“-----BEGIN PRIVATE KEY-----”开头

我在我的服务器上使用 SSL 证书，一切看起来都很好。

现在我想将相同的证书上传到 AWS IAM，以便我可以通过 beanstalk 负载均衡器使用它。我使用此 aws 文档http://docs.aws.amazon.com/IAM/latest/UserGuide/InstallCert.html#SubmitCSRCertAuth中的以下命令

我根据需要更改了证书文件名，但不断收到此错误：“400 MalformedCertificate Invalid Private Key”。

有趣的是，在 aws 文档页面上，他们显示的示例私钥以“-------Begin RSA Private Key--------”开头

有没有办法使用 openssl 将我的私钥转换为 RSA 私钥？

我对 AWS 比较陌生，我拥有主 AWS 账户，但需要创建一个“超级用户”账户，该账户仅有权创建新用户，并且只能将这些用户添加到具有各自策略的一组预定义组中（例如.SES-Readonly 和 SES-FullAccess)。我不希望该超级用户能够创建任何其他组，他们也不应该能够修改应用于这些组的任何策略。我也不希望该用户访问其他 AWS 服务（例如 EC2、S3 等）。这可能吗？如果是这样，该政策会是什么样子？

我已经阅读了大部分 IAM 文档，并查看了他们的示例，但我没有找到任何与我的用例相似的示例 :(

提前致谢！

您在理解 S3 IAM 政策和指令时遇到问题吗？不能完全理解他们的文档吗？我做到了。

我有一种情况，我必须从一个特定的文件夹和几个存储桶中锁定几个 IAM 用户，除了一个之外，就我而言，他们的大多数解决方案和示例解决方案都像泥巴一样清晰。在网上搜索并没有找到我想要的东西后，我找到了一个资源（http://blogs.aws.amazon.com/security/post/Tx1P2T3LFXXCNB5/Writing-IAM-policies-Grant-access-to-user- specific-folders-in-an-Amazon-S3-bucke），这很清楚并且实际上很有帮助，但它确实需要一些修改，结果就是您在下面看到的政策......

它的作用是允许用户访问存储桶中的特定文件夹，但拒绝访问同一存储桶中的任何其他列出的文件夹。请注意，您将无法阻止他们查看文件夹的内容，也无法阻止他们看到有其他存储桶，这是无济于事的。但是，他们将无权访问您选择的存储桶/文件夹。

我试图允许一个用户对 us-west-2 执行所有操作，这是我的政策。

我从一个实例的“OWNER”参数中获得了帐号，不确定是否是。

具体来说，运行一系列postfix、dovecot和nginx来为（不是很多）用户提供“不错的”邮件服务。所有服务共享可插入身份验证模块 (PAM)作为可能的身份验证方法。目前，系统的“passwd”数据库正用于通过 PAM 再次进行身份验证。

AWS Identity and Access Management (IAM)是一项硬性要求。因此，任何其他服务（如duosecurity）都不是一种选择。在我开始编写 PAM 模块之前，我想问问你的经验——你会怎么做？谢谢！

我现在正在尝试设置 Fineuploader-s3 以显示成功上传到 aws 服务器上的文件的图像，就像在此处的示例页面上所做的那样：http: //fineuploader.com/#s3-demo

我（仍然）使用https://github.com/Widen/fine-uploader-server/blob/master/php/s3/s3demo.php的代码，并且我已经添加

到我的javascript文件中的fine-uploader实例，以便临时链接应该由s3demo.php文件中的函数生成。

我意识到我必须安装 AWS SDK 才能让它工作。安装的 zip 方法真的不起作用，所以我使用 phar。我将 s3demo.php 文件的那部分更改为：

我还取消了对这两行的注释：

我在让它工作时遇到了两个问题。首先是我从 AWS 的成功响应出现了问题，我认为我应该从中获取文件的链接。

文件上传完美，但我在控制台中收到错误：

这是否意味着我的 AWS 开发工具包安装或我在 Amazon 上的权限设置有问题？对于 CORS 和 IAM 设置？其中仍然如下：

我对 IAM 的组策略：

第二个问题，我确信我应该能够弄清楚但不能，是如何在我的 javascript 中访问由 s3demo.php 生成的 json 数组，以便我可以显示上传的图像。我想这不是 $templink[0]。我想知道是否可以在http://fineuploader.com/#s3-demo上看到提供查看按钮功能的示例代码。如果我应该在这里提出第二个问题，我很乐意这样做。

非常感谢你花时间陪伴。

编辑按要求添加我的完整代码：

PHP：

我的html。我使用 Mark 在 StackOverflow 上的另一个示例进行此测试，因为最终我想同时提交一些其他数据：

我的JavaScript：

我想在 IAM 中创建一个新用户，并允许他创建新的 EC2 实例，但只能查看/管理他创建的那些实例。

IAM可以做到这一点吗？

这是我尝试的组策略：

故事：“作为负责发放退款的用户，我希望能够从包含名称‘新销售文件’的任何 AWS s3 文件夹中下载”

这是我第一次需要在前缀开头使用通配符。这个前缀行应该是什么： "s3:prefix": " // New Sales File/*"

完整的政策如下。[DELETED 代表我删除的敏感信息——值与模式不匹配]

] }

我在自动创建用户和角色的 AWS IAM 应用程序中遇到了一种奇怪的行为。

我的操作顺序是：

1. 发送动作CreateUser；
2. 为这个创建的用户发送一个动作CreateAccessKey；
3. GetUser为此创建的用户发送操作以获取帐户 ID。我需要这样做，因为我只有根密钥和秘密；
4. 发送一个 action CreateRole，AssumeRolePolicyDocument其中 Principal 是这个创建的用户。

当我执行第 4 步时，我收到一个MalformedPolicyDocument( Invalid principal in policy: "AWS":"arn:aws:iam::123412341234:user/newuser")。

但是，如果在第 4 步之前我延迟了 15 秒，它运行没有任何问题。

有没有我不需要坚持固定延迟的工作流程，比如阅读一些 IAM 网络服务来检查用户是否准备好使用？