腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
视频
沙龙
1
回答
当我通过假设角色尝试访问不同帐户的s3存储桶时,我尝试使用lambda。我得到GetObject操作:访问被拒绝
amazon-web-services
、
amazon-s3
、
amazon-iam
我有一个关于s3和角色如何跨帐户工作的问题。 我有一个lambda函数,在帐户A中有一个角色,在帐户B中有一个bucket,lambda函数需要访问它。账号A的角色对账号B的存储桶有s3:*权限。我们在账号B的存储桶上设置了主体,接受账号A的角色。存储桶策略也允许在存储桶上使用s3:*。类似于下面的内容。 帐户A角色: { "Action": [ "s3:*" ], "Resource": [ "arn:aws:s3:::bucket/*", "arn
浏览 16
提问于2017-12-22
得票数 0
回答已采纳
1
回答
了解IAM角色
amazon-web-services
、
amazon-iam
让我们假设用户'ABC‘附加了'EC2完全访问’策略。角色也可用于“S3完全访问”,并且EC2可以承担此角色。这是否意味着ABC可以间接访问S3?我在这里有点困惑。此外,可以登录到EC2计算机的任何用户都可以担任此角色,并且可以访问S3。我如何控制这一点,以便由用户'ABC‘部署的应用程序可以承担此角色,而不是由其他用户的应用程序?
浏览 29
提问于2020-07-29
得票数 1
回答已采纳
2
回答
跨帐户访问另一个帐户中AWS胶的S3
amazon-s3
、
amazon-iam
、
aws-glue
我想设置跨帐户访问一个S3桶,以便在另一个帐户中为AWS爬行。我们在环境中有两个帐户(A & B): AccountA有一个具有ACL权限的S3桶(即管理员不喜欢使用桶策略),允许AccountB同时使用“列表对象”和“读取桶”,Permissions'.AccountB希望使用Glue (在AccountB中)来爬行驻留在AccountA中的S3桶中的数据,从而填充自己的数据目录。 我已经验证了我可以通过AccountB凭据(即aws s3 ls AccountA-S3-Bucket )使用AWS列出AccountA的aws s3 ls AccountA-S3-Bucket桶
浏览 2
提问于2020-10-02
得票数 6
回答已采纳
2
回答
AWS无法访问跨帐户s3桶对象,而是从cli工作到
amazon-web-services
、
amazon-s3
、
aws-lambda
在访问跨帐户s3存储桶时,我得到了禁止的错误,但我能够使用aws s3 cli访问桶。 我检查了以下情况: I在6月份测试了代码,在过去4个月中一直在工作,并且没有更改。Lambda角色(在过去4个月中没有更改): { "Action": "s3:*", "Resource": [ "*" ], "Effect": "Allow" }, 代码
浏览 1
提问于2020-07-07
得票数 0
2
回答
如何将S3桶保护到实例的角色?
amazon-web-services
、
amazon-s3
、
amazon-iam
、
amazon-cloudformation
使用cloudformation,我已经启动了一个EC2实例,它的角色具有一个S3策略,如下所示 {"Statement":[{"Action":"s3:*","Resource":"*","Effect":"Allow"}]} 在S3中,桶策略如下所示 { "Version": "2012-10-17", "Id": "MyPolicy", "Statement": [ {
浏览 5
提问于2016-04-24
得票数 0
回答已采纳
1
回答
传递性地使用IAM角色
amazon-web-services
、
amazon-iam
我有一个关于在EC2和EMR中使用IAM角色的问题。这是我当前的设置: 我使用一个特定的IAM角色启动了一台EC2机器(让我们称这个角色为'admin')。我的工作流程是从这台机器上传一个文件到S3,然后创建一个具有特定IAM角色(“runner”角色)的EMR集群。电子病历集群处理从管理员机器上传到S3的文件。管理员是对所有AWS服务中的所有API具有权限的角色。Runner可以访问EMR、EC2和S3中的所有API。 由于某些原因,电子病历集群无法访问加载到S3中的输入文件。它一直收到来自s3的“拒绝访问”异常。 我猜从一个IAM角色写入s3并从另一个IAM角色读取它是导致
浏览 0
提问于2014-02-19
得票数 0
1
回答
使用IAM角色从S3用curl从EC2检索文件
amazon-web-services
、
amazon-s3
、
amazon-ec2
我创建了一个IAM角色,并将其分配给我的EC2实例。我创建了一个IAM角色策略,并将其链接到我的S3桶中。现在,我可以使用我的S3实例上的aws-cli列出aws-cli桶上的文件。 [root@ec2.hostname.aws.com ~]# aws --region eu-west-1 s3 ls s3://s3-bucket-name 2017-05-02 02:37:39 137 index.html 现在,如果我试图curl该文件,就会得到一个拒绝访问的错误: [root@ec2.hostname.aws.com ~]# curl https://s3-eu-west-
浏览 1
提问于2017-05-02
得票数 5
回答已采纳
1
回答
Terraform S3远程状态可以保存在不同的AWS帐户中吗?
amazon-web-services
、
terraform
、
amazon-s3
、
aws-iam
我目前正在使用Terraform和S3远程状态。我用来运行Terraform的IAM用户与保存远程状态文件的S3桶存在相同的AWS帐户中。一切都很顺利。 但是,我在其他AWS帐户中有IAM用户(都是同一个AWS组织的一部分),我希望授予他们在主帐户中使用terraform的权限。看来我应该可以用我的角色来做这件事了。我在主帐户中创建了一个IAM角色,并将aws提供程序的D1属性配置为在主AWS帐户中承担一个角色。 但是,这种方法失败了,因为其他AWS帐户中的用户无法访问S3中的远程状态文件。我尝试将远程状态文件的访问权限授予IAM角色,但terraform显然试图在加载aws提供程序和假定新的
浏览 0
提问于2019-03-04
得票数 0
2
回答
我是否总是必须显式地承担访问S3的角色?
amazon-web-services
、
amazon-s3
、
amazon-iam
我正在尝试建立跨帐户的S3访问。我的帐户A可以访问帐户B的S3位置中的文件。我做了以下步骤: IAM角色B是在帐户B中创建的,可以访问S3位置 IAM角色A是在表A中创建的,我们将使用它来承担角色B 角色B将帐户A添加到其受信任的关系中,并授予KMS权限 角色A添加了内联权限策略以承担角色B并使用KMS键 通过使用以下代码显式地承担帐户B的角色,我能够访问S3文件: client = boto3.client('sts') response = client.assume_role(RoleArn=source_role, RoleSessionName
浏览 5
提问于2020-04-03
得票数 1
回答已采纳
1
回答
多么。以地形迭代列表(地图(列表))
list
、
amazon-web-services
、
amazon-s3
、
foreach
、
terraform
我想在s3中创建文件(键)。通过下面的代码,我可以成功地在s3中创建文件- locals { rules = [ { user = "user-1", roles = "test" } } resource "aws_s3_bucket_object" "this" { for_each = zipmap(local.rules.*.user, local.rules.*) bucket = "test-09129" acl =
浏览 1
提问于2021-02-24
得票数 1
回答已采纳
1
回答
在两个桶之间同步对象-用户在源桶上具有读取访问权限,在目标桶上具有完全访问权限
amazon-web-services
、
amazon-s3
、
amazon-iam
我已经看到了很多答案,其中SourceBucket帐户中的用户/角色(Account A)必须向DestinationBucket添加读策略,同时,目标桶应该从帐户A向用户/角色添加一个桶策略,以便进行读/写访问。 但我的问题有点不同。 我可以从帐户A访问一个用户,该帐户只有列表和读取访问SourceBucket的权限。我还可以完全访问帐户B和随后的DestinationBucket。 现在,我能够成功地做的是使用对用户的编程访问从桶A到本地驱动器的aws s3 sync。然后使用帐户B中的用户/角色将本地驱动器同步到DestinationBucket。 我试图找到一种解决方案,可以在两个桶之
浏览 5
提问于2020-04-26
得票数 0
2
回答
使用aws堆栈集部署lambda资源
amazon-web-services
、
aws-lambda
、
amazon-cloudformation
我使用AWS CloudFormation Stackset将资源部署到不同的帐户。Lambda资源需要一个S3Bucket、ObjectKey和ObjectVersion来引用包含代码的zip文件。此代码位于主帐户内的S3桶中。 当将堆栈实例部署到帐户时,帐户无法访问zip文件来创建lambda,因为它位于主服务器中,因此我得到以下错误: 您的访问已被S3拒绝,请确保您的请求凭据对桶名/pythonlambdas.zip的GetObject具有权限。S3错误代码: AccessDenied。S3错误消息:拒绝访问(服务: AWSLambdaInternal;状态代码: 403;错误代码:
浏览 1
提问于2019-07-16
得票数 1
4
回答
如何拒绝亚马逊网络服务账户的s3存储桶访问
amazon-web-services
、
amazon-s3
、
amazon-iam
、
policy
我有一个ID为11111的亚马逊网络服务帐户,即使访问该对象的角色具有完全s3访问权限,我也要拒绝该存储桶所属的同一帐户访问s3存储桶的某些部分。 我的理解是,在s3存储桶策略上设置拒绝规则应该做到这一点,因此我尝试了下面的s3策略 { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Deny",
浏览 0
提问于2017-12-05
得票数 3
1
回答
用aws加密cli解密加密S3文件的解密
amazon-web-services
、
encryption
、
amazon-s3
、
aws-cli
我正在寻找一种使用aws-encryption-cli --decrypt.解密已经加密的文件的方法 我是否可以指定加密的S3对象位置?如果当前角色具有解密对象的权限,即使我没有指定KMS密钥,我也使用基于角色的解密。 我试图使用以下命令: aws-encryption-cli --decrypt --input s3://XXX/encryptedfile.text --encryption-context purpose=test --metadata-output ~/metadata --output . 如果你知道使用aws-cli加密/解密,你能帮上忙吗? 事先非常感谢
浏览 1
提问于2018-03-26
得票数 0
1
回答
拥有IAM角色的EC2实例还可以执行AssumeRole吗?
amazon-web-services
、
amazon-iam
、
roles
我知道一个EC2实例不能同时承担两个IAM角色。但是STS AssumeRole是如何适应这种情况的呢?如果我的实例已经附加了角色,它还可以执行AssumeRole吗? 我有一个实例每秒向DynamoDB发送数百个请求,它有一个能够与DynamoDB通信的角色。现在我需要从S3获取数据,每秒几次。我是否可以使用AssumeRole获取访问S3的临时凭据,仅针对对S3的请求(如果有),或者我是否需要修改现有角色,添加访问S3的权限?我更倾向于避免第二种选择。
浏览 0
提问于2021-05-05
得票数 0
2
回答
如何确保雅典娜生成具有bucket-owner-full控制S3对象
amazon-web-services
、
amazon-s3
、
permissions
、
amazon-athena
我们(帐户A)想通过编程的方式在不同的亚马逊网络服务帐户(帐户B)中触发雅典娜查询(StartQueryExecution),我们使用假定的角色来实现。在雅典娜查询完成后,我们期望结果应该写入我们的亚马逊网络服务帐户s3存储桶(帐户A)。我们设法做到了这一点,方法是设置两端IAM策略,允许B写入A的S3存储桶。 但是,帐户A中的S3对象似乎仍归帐户B所有,帐户A中的用户/角色无权访问这些对象。 我在考虑任何一种方法来解决这个问题,但我找不到任何一个如何做的例子 在创建对象后,以某种方式确保雅典娜使用acl =bucket-owner- s3 -control将s3对象acl更改为bucket-
浏览 1
提问于2019-06-13
得票数 3
1
回答
通过api为AWS S3授予第三方访问权限
amazon-web-services
、
amazon-s3
、
oauth
如何让其他用户访问我的AWS S3存储桶,而不必为其创建IAM角色并发送密钥/秘密。我想让第三方自己来决定证书。 这有可能吗? 基本上,我在寻找类似于OAuth for S3的东西
浏览 0
提问于2019-05-28
得票数 0
1
回答
具有默认aws/S3 KMS密钥的解密对象的交叉帐户访问
amazon-web-services
、
amazon-s3
、
aws-lambda
、
amazon-iam
、
amazon-kms
在我的帐户A中,我有S3存储桶,其中的对象是加密的默认AWS托管密钥aws/s3。 我想从帐户B阅读这些对象。但是,由于account A对象是用AWS托管密钥aws/s3加密的,所以我不能在这里修改KMS密钥策略。 我试图在帐户A中创建一个角色,它具有所有KMS和S3的权限,信任帐户B中的B.Then角色,我在A中承担这个角色,但仍然得到 Access denied error in GetObject 在这里我能做些什么来从Account A.Please指南中读取对象。 在帐户A中的作用 statement { Action: kms:* Resource : "*&
浏览 2
提问于2021-10-11
得票数 0
回答已采纳
3
回答
将IAM角色从一个EC2传递到另一个Ec2
amazon-web-services
、
amazon-ec2
、
amazon-iam
、
amazon-policy
我有一个ec2实例(比如ec2-1),它有一个IAM角色。该IAM角色具有用于启动新的ec2实例、新的安全组、列出各种安全组、从S3复制文件等策略。 现在,我想从这个ec2-1实例中启动另一个ec2实例,使用aws或CloudFor阵型模板(不是从控制台),而是使用从s3复制对象的额外访问权限。我只希望paas这个策略/角色从ec2-1到这个新启动的实例,这样我就可以使用CFT中的用户数据从s3复制对象到新的s3实例中。 我不想传递完整的角色与完整的策略,在ec2-1中,如启动ec2,SG等。 我怎样才能做到这一点?
浏览 0
提问于2019-07-18
得票数 0
3
回答
将文件从一个AWS帐户中的S3桶复制到另一个AWS帐户
amazon-web-services
、
amazon-s3
、
aws-lambda
、
amazon-iam
有一个S3桶,它由一个不同的AWS帐户拥有,它有一个文件列表。我需要将文件复制到我的S3桶中。为了做到这一点,我想做两件事: 在另一个帐户中添加一个S3桶事件,这将触发lambda在我的aws帐户中复制文件。 应该为我的lambda提供权限(可能是通过假定的角色),以便复制文件。 为了达到1和2,我必须执行哪些步骤?
浏览 1
提问于2018-11-05
得票数 1
回答已采纳
1
回答
移动和web访问的认知角色和亚马逊网络服务S3存储桶策略
amazon-web-services
、
amazon-s3
、
amazon-cognito
我们的目标是创建只允许登录用户访问S3的IAM存储桶和IAM角色策略。 我们在一个S3存储桶上托管私有文件,该存储桶可以从web和移动应用程序访问。我们尝试使用未经身份验证的角色通过Amazon Cognito添加一层安全性,以便任何登录到我们的应用程序的用户都可以访问S3存储桶。 使用AWS-SDK for JS并完成基本的AWS.config.credentials设置后,我们可以在Amazon Cognito identity Dashboard中看到访问的1个身份和同步的数量。因为我们似乎要连接到IdentityPool,所以我认为我们的策略可能需要一些调整,以便具有未经身份验证的Co
浏览 2
提问于2015-12-11
得票数 4
1
回答
从S3下载工件时拒绝的代码生成访问
amazon-web-services
、
aws-codepipeline
、
aws-codebuild
我的CodeBuild配置了CodePipeline。S3是我的艺术品商店。尽管我已经为IAM角色附加了足够的访问权限,但我仍然收到了一条拒绝访问的消息。 错误消息的截图 我已经检查了与Codebuild相关的服务角色。它附有以下政策。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": [ "arn:aws:logs:a
浏览 0
提问于2018-12-13
得票数 10
回答已采纳
1
回答
无法从EC2托管网站查看S3存储桶图像对象
amazon-web-services
、
amazon-s3
我创建了一个IAM角色,该角色提供对S3 Bucket的完全访问权限,并将其附加到EC2实例。但是,当我尝试从EC2托管网站查看图像时,无法查看该图像。我一直收到403禁用码。 下面是IAM角色和附加的策略: ? 可以看到GetObject已启用: ? 但是错误仍然存在: ? 对如何解决这个问题有什么建议吗?感谢您的阅读。
浏览 7
提问于2021-04-29
得票数 0
回答已采纳
1
回答
AWS S3桶访问文件权限
amazon-web-services
、
amazon-s3
、
amazon-iam
、
roles
、
bucket
我不是一个AWS专家,所以我需要一些帮助配置访问策略到一个S3桶音频文件。快速解释:,我试图调用lambda函数,并通过私有访问从S3桶访问音频文件。我的lambda函数(相同的aws帐户)应该能够通过URI访问mp3文件。 详细信息:我正在开发.NET中的Alexa技能,托管在AWS上。此技能需要播放将从S3桶中检索到的音频。我唯一能够播放音频的方法是让每个人都可以访问mp3文件(允许公共访问),但我只想限制我的lambda函数(相同的aws帐户)的访问权限。换句话说:我不希望任何人访问这些文件,只想访问我的lambda函数。每当我配置访问策略时,alexa技能就不再访问该文件并返回:“无法
浏览 6
提问于2022-11-24
得票数 0
1
回答
为什么我的电子病历集群看不到我的S3桶?
amazon-web-services
、
amazon-s3
、
amazon-iam
、
amazon-emr
我需要我的电子病历集群来查看一个私有的S3桶。只能通过一个我们称之为x角色的角色才能看到这个桶。我更新了x角色的IAM信任关系,以允许假设角色函数为默认的EMR角色。是的,x角色具有正确的S3权限来查看所有s3资源. X角色的信任关系如下所示: { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow",
浏览 11
提问于2022-07-12
得票数 0
2
回答
从亚马逊网络服务读取S3对象列表的网站
html
、
amazon-web-services
、
amazon-s3
、
amazon-ec2
我需要让一个网页像超文本标记语言+简单的JS/CSS一样简单,但它需要从特定的S3存储桶中读取对象(文件)列表。 前端部分我完成了,但为了获得s3对象的列表-我需要发出命令AWS ->来从S3获取文件列表,但这需要每1-2h使用一次AWS令牌。或者,我可以从EC2运行该命令,将用户添加到某个角色,然后在没有令牌的情况下从那里运行。 理想情况下,网站将托管在一些亚马逊网络服务(S3,CloudFront...)上。而不是在EC2上。如何实现这一点(而不是托管在EC2上)?
浏览 1
提问于2018-03-20
得票数 0
1
回答
如何保护公共存储桶中的一些文件/对象?
reactjs
、
amazon-web-services
、
amazon-s3
、
amazon-cloudformation
我想创建一个公共读取aws s3存储桶与一些文件读取受IAM角色限制。 首先: 我使用amplify cli部署我的静态网站。网站是一个react应用程序此应用程序有公共页面/ react组件和管理区域我想用aws IAM角色限制管理区域/管理页面/管理react组件<代码>F211</代码> 更多细节: react应用程序非常大,所以我使用像const Dashboard = asyncComponent(() => import('./pages/Dashboard'))这样的asyncComponent功能拆分组件,所以当我构建应用程序时,只
浏览 16
提问于2019-05-24
得票数 0
回答已采纳
1
回答
ec2角色与具有用于s3访问的临时密钥的ec2角色
ruby-on-rails
、
amazon-web-services
、
amazon-s3
、
amazon-ec2
、
aws-sdk
因此,我有一个标准的Rails应用程序运行在需要访问s3的ec2上。我目前正在使用长期访问密钥,但轮换密钥是一种痛苦,我想摆脱这一点。看起来我有两个选择: 第一步,给ec2实例添加一个有权限访问s3存储桶的角色。这看起来很容易设置,但没有任何访问密钥似乎是一个安全威胁。如果有人能够访问服务器,则很难停止对s3的访问。 其次,我可以使用ruby SDK和STS类来“假定角色”,从角色中获取临时访问密钥,并在rails应用程序中使用它们。我很困惑如何设置它,但我可能会弄清楚。然而,这似乎是一种非常安全的方法,因为即使有人访问您的服务器,临时访问密钥也会使长期访问您的s3数据变得相当困难。 我想我的
浏览 15
提问于2017-12-23
得票数 0
1
回答
AWS Cognito针对aws的解决方法:用户名
amazon-web-services
、
amazon-s3
、
amazon-cognito
我正在使用AWS Cognito用户池为一个应用程序编写用户策略,该应用程序需要与我们之前在S3上使用的旧的临时用户管理系统兼容,同时我们使用Cognito迁移到更好的用户管理模型。 旧系统在组策略中使用arn:aws:s3:::[Our Bucket Name]/${aws:username}/*,仅允许用户使用其用户名访问对象。我曾认为在Cognito中使用相同的用户名将允许我们使用重复的角色策略,从而允许Cognito用户具有相同的访问权限,但是根据的说法,Cognito不存在aws:username;只有aws:userid,如果我没有理解错的话,它本质上是一个随机生成的唯一字符串,与
浏览 2
提问于2018-09-21
得票数 2
1
回答
函数将X签名附加到S3 URL
amazon-web-services
、
go
、
amazon-s3
、
aws-lambda
我正在尝试让Go Lambda函数将一个图像写到一个S3桶中,这个桶将被客户端的公共URL访问。当我在本地执行函数时,在我的环境中使用我的AWS凭据,我可以在s3 url上访问以/image.jpg结尾的图像。但是,当lambda函数运行时,它会向URL添加一个Amz-签名。 该函数具有IAM角色AmazonS3FullAccess。 我的问题是,我该如何: directly.Obtain 没有添加此签名的函数,因此客户机可以在客户端访问普通URL 此签名,以便将其附加到URL .。 在Go函数中,我使用s3 upload.upload()函数上传到upload.upload,但是如果使用pu
浏览 3
提问于2020-06-30
得票数 0
1
回答
S3:即使附加了AmazonS3FullAccess也拒绝访问
amazon-web-services
、
amazon-s3
、
aws-lambda
调用此lambda函数时: var params = { Bucket: sourceBucket, Key: sourceKey, ACL: 'public-read-write' }; s3.putObjectAcl(params, function(err, data){ if (err){ callback(err) } }) 我尝试了这个lambda函数的两个执行角色,但是仍然遇到了上面的错误: 带有AWSLambdaExecute
浏览 2
提问于2021-06-01
得票数 1
回答已采纳
1
回答
使用Lambda实现数据的AWS跨帐户移动
amazon-web-services
、
amazon-s3
、
aws-lambda
我有到达S3帐户A的数据,我想自动复制到S3帐户B,但不知道如何引用帐户B中的帐户A中的文件来进行复制。 迄今已完成的步骤: 将Account B内联策略添加到执行角色引用帐户A S3桶中 2给予帐户A调用Lambda的帐户B的权限 3帐户A桶策略允许S3访问角色执行角色B 4帐户A事件通知给帐户B Lambda (所有ObjectCredte事件) 我是遗漏了一些步骤还是在这里,如果没有,我的Lambda如何直接引用事件捕获的各个文件?
浏览 5
提问于2020-08-05
得票数 1
回答已采纳
2
回答
将特定IAM角色列入白名单的存储桶策略
amazon-web-services
、
amazon-s3
、
amazon-iam
、
amazon-ecs
我有一个存储桶策略,看起来像这样: { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::t
浏览 1
提问于2020-05-21
得票数 2
1
回答
使用仅使用角色访问S3
amazon-web-services
、
amazon-s3
、
aws-lambda
、
aws-sdk
、
serverless-framework
我有一个用Java编写的Lambda函数,我希望它能够访问S3 (putObject)。 为了访问S3,我不希望在Lambda函数中使用或存储凭据。相反,我想使用IAM角色。 如何在我的java代码(将由Lambda运行)中编写不需要任何凭据并假定Lambda具有适当角色的AWS S3客户机?
浏览 1
提问于2017-04-02
得票数 2
回答已采纳
1
回答
在S3中使用python boto3列出加密对象
python
、
amazon-web-services
、
amazon-s3
、
boto3
我正在尝试将文件从一个帐户(源帐户)中的S3桶移动到另一个帐户(目标帐户)中的S3桶中,我使用的是sagemaker笔记本,所以我有一个so角色。我还在我的团队帐户中有一个角色,该帐户具有完全的s3访问和完全创建器访问,而在信任关系中,我给出了目标帐户角色arn和sagemaker。目标帐户还在其信任策略中有my team角色arn和sagemaker角色arn。 我正在尝试承担我的团队角色,然后我将承担复制文件的目标角色。 import boto3 sts_client = boto3.client('sts') ass
浏览 2
提问于2020-10-30
得票数 0
2
回答
在单独帐户中放入s3桶触发的AWS
amazon-web-services
、
amazon-s3
、
aws-lambda
、
amazon-iam
我正在尝试触发Lambda函数,以便在更新s3桶时运行。我试图让Lambda触发的s3桶位于一个单独的AWS帐户中。 我尝试过的方法是在帐户中设置一个角色,这个角色具有s3桶上的所有特权。然后,在Lambda的帐户中,我有一个角色,它在另一个帐户中扮演这样的角色: { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sts:Ass
浏览 5
提问于2016-04-17
得票数 11
回答已采纳
1
回答
AWS SFTP必须允许用户在S3中下载带有特定标签的文件
amazon-web-services
、
amazon-s3
、
sftp
、
winscp
我正在尝试做一个简单的任务,在那里我必须能够通过SFTP下载一个具有特定标签的S3文件。我正试图通过在SFTP IAM策略中插入一个条件来实现这一点。 { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowListingOfUserFolder", "Action": [ "s3:ListBucket", "s3:GetBuck
浏览 11
提问于2019-12-17
得票数 0
2
回答
S3拒绝管理员的访问
amazon-web-services
、
amazon-s3
对于一个AWS S3桶,除了一个特定的IAM角色之外,我想拒绝每个人的访问。我创建了一个基于角色的策略来允许访问,这是可行的。但是其他IAM用户也可以访问对象,我想防止这种情况发生。我尝试添加这样的桶策略,它拒绝每个人(除了这个主体),然后允许这个主体。但这一政策阻碍了包括这一角色在内的所有人的参与。 我试图阻止的其他IAM用户都附加到内置AdminstratorAccess策略中。 { "Version": "2012-10-17", "Id": "PolicySecretBucket", "St
浏览 3
提问于2019-12-17
得票数 2
回答已采纳
1
回答
使用跨帐户角色从帐户B中的S3实例访问帐户A中的EC2桶
amazon-web-services
、
amazon-s3
、
amazon-ec2
、
amazon-iam
、
aws-code-deploy
引言 在Account-A 中有一个S3桶(sample-s3-bucket-in-account-a)在这个帐户中这个S3桶被配置为服务器端加密使用AWS KMS AMS KMS密钥是aws/s3 (AWS托管密钥) Account-B有<code>e 115</code>no<code>e 216</code>桶策略<代码>H 217</code><code>H 118</code>在这个帐户中创建的IAM交叉帐户角色(<code>d19</Account-B>)是受信任
浏览 2
提问于2021-10-21
得票数 0
1
回答
获得AWS对私有S3资源的访问
amazon-s3
、
aws-lambda
、
amazon-iam
我们一直试图解决与S3和Lambda相关的资源权限问题。 我们有一个根帐户,它有一个帐户A-桶所有者帐户B-用于上传(通过CORS)并允许访问S3图像角色L-我们有一个lambda函数,它为这个角色分配了完全的S3访问权限 水桶有如下的访问策略- { "Version": "2012-10-17", "Id": "Policyxxxxxxxxx", "Statement": [ { "Sid": "Stmt44444444444", "
浏览 0
提问于2017-01-31
得票数 1
回答已采纳
5
回答
如何将S3存储桶策略写到*只允许*允许特定的IAM角色和Cloudfront源访问标识?
amazon-s3
、
amazon-cloudfront
、
amazon-iam
我的总体目标是:我尝试了几件事,并阅读了相关的AWS文档,但无法理解如何编写S3桶策略,以便只允许访问特定的IAM角色和(OAI),并拒绝其他所有人。 我已经尝试过: 1.我找到了这个博客,它展示了如何将s3桶访问限制到特定的角色: 2。此策略只允许MY_IAM_ROLE允许在名为“myBucket”的桶上进行所有操作: { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny",
浏览 3
提问于2017-09-10
得票数 13
1
回答
读取外部S3桶
amazon-web-services
、
amazon-s3
、
amazon-athena
在雅典娜可以分析外部S3桶中的数据吗? 我已经使用了官方文档桶策略,它允许访问帐户,其中是AWS雅典娜,但这是行不通的。我经常被拒绝访问错误。 我也尝试过用同样的角色作为校长,但这也不起作用。这应该可以工作,因为我发现雅典娜对S3访问使用了与执行查询相同的主体。 我留下了另一个选项,即复制S3内容,但这不是我想要完成的。所有的官方文档都说,通过桶策略访问S3桶是可能的,但我看不出这种方式是可行的。如果有人有这方面的经验,或可以测试,我将感激。 PS:我已经在这里读到了类似的答案,但没有发现其中任何一个有效。 更新:使用了这两种策略。帐号不一样。 这是官方的AWS政策。 { "Ve
浏览 3
提问于2020-10-16
得票数 0
回答已采纳
1
回答
获取Lambda在桶策略中的ARN
amazon-web-services
、
amazon-s3
、
amazon-iam
除了特定的Lambda之外,我正在尝试编写一个桶策略,拒绝所有访问我的桶的权限。我正试图通过白名单Lambda的角色和承担的角色ARN来实现这一点,如下面的策略所示。 之所以如此,是因为我在一个公司AWS帐户下工作,在这个帐户中,联邦用户承担“超级用户”或“只读”角色。“超级用户”角色可以完全访问s3。我不管理这些角色的权限,我需要阻止承担“超级用户”角色的其他公司用户访问我的桶。 我正在尝试使用AWS:SourceArn全局条件上下文键获取角色ARN,但似乎AWS:SourceArn没有像我预期的那样工作: { "Version": "2012-10-17",
浏览 1
提问于2018-02-07
得票数 0
回答已采纳
1
回答
跨帐户访问特定AWS帐户中的S3桶的IAM角色策略
amazon-web-services
、
amazon-s3
、
amazon-iam
允许从AccountA中的IAM角色访问给定的S3桶,条件是它们存在于AWS AccountB (使用帐号)中。 下面是我的角色策略 in AccountA,该策略当前具有以下权限。如何将其更新为仅访问AccountB中的桶。 { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "
浏览 3
提问于2021-01-21
得票数 2
1
回答
当未找到对象时,AWS返回403而不是404
amazon-web-services
、
amazon-s3
、
aws-sdk
我使用IAM角色访问S3,如果找不到对象,那么S3将返回403。我可以在AmazonS3Client中看到下面的代码。它不满足403和例外传递给客户端。 public boolean doesObjectExist(String bucketName, String objectName) throws AmazonServiceException, SdkClientException { try { this.getObjectMetadata(bucketName, objectName); return true; } catch (Am
浏览 1
提问于2019-01-24
得票数 2
回答已采纳
1
回答
从S3桶中恢复RDS的IAM策略
amazon-web-services
、
amazon-s3
、
amazon-rds
我正在尝试恢复存储在S3中的parquet格式的快照。但我知道这个错误 “在调用RestoreDBInstanceFromS3操作时发生错误:无法下载指定的Amazon桶中的文件。请确保您已经创建了一个AWS标识和访问管理角色,该角色允许Amazon为您访问亚马逊S3。”。 以下是我创建的IAM政策: { "Version": "2012-10-17", "Statement": [ { "Sid": "ImportPolict", &
浏览 1
提问于2020-08-05
得票数 1
1
回答
我如何了解postgres的特权是从哪里来的角色?
postgresql
、
google-cloud-sql
、
google-cloud-platform
我使用,但这是一个更通用的postgres问题。 我有一个角色(已经由cloudsql创建和管理),名为cloudsqliamserviceaccount。 cloudsqliamserviceaccount角色不是任何其他角色的成员。 每当我创建一个新的postgres用户(通过GCP控制台或gcloud),它们就被添加到这个角色中。我不能将它们从角色中删除,因为它会破坏cloudsql集成。 cloudsqliamserviceaccount角色具有非常广泛的权限。它可以连接到所有DBs并执行CRUD操作。但我不知道如何查看它的全部权限列表。 简而言之,我的角色是"cloudsql
浏览 0
提问于2021-05-05
得票数 1
回答已采纳
1
回答
S3跨账号数据传输
amazon-web-services
、
encryption
、
amazon-s3
正在研究如何将S3存储桶中的数据共享给外部合作伙伴。在我们的VPC中设置AWS角色,并与我们的外部合作伙伴共享。他们从其系统访问的权限将采用在我们的帐户中创建的AWS角色,并访问存储桶。我们的S3存储桶中的数据是加密的@rest... 如果外部供应商在假设role...copies之后将数据从我们的S3存储桶转移到他们的临时environment...how,以确保传输中的数据也将被加密? 我们的S3数据使用默认的SSE-S3 AES256加密。
浏览 0
提问于2018-11-13
得票数 0
2
回答
如何获得在AWS控制台中添加服务的完全访问权限
amazon-web-services
、
permissions
、
amazon-iam
我需要为一个项目在AWS上设置EC2、RDS和S3。客户希望帐户以他们的名义,他们不想分享他们的凭据(可以理解)。我的目标是给我的客户指示如何授予我创建服务(EC2、RDS、S3)的权限,然后使用它们。 我正在为我读文档,但我有点迷路了。在创建新用户时,我在其中看到了带有100+预配置角色的权限列表,但我不知道我需要哪些角色。我看到了Network Administrator,还有其他像AmazonEC2FullAccess这样的,看起来很有前途。我犹豫不决,因为我不想与客户来往,猜测我需要哪些角色。我想一劳永逸。 授予用户创建新服务并与其合作的访问权限的指令是什么?
浏览 0
提问于2017-01-26
得票数 1
回答已采纳
1
回答
客户端应如何从AWS S3下载资源
amazon-web-services
、
amazon-s3
、
amazon-ec2
我对AWS S3有点陌生--在同一个AWS区域使用EC2 (托管web应用程序)和S3 (存储资源),并为EC2分配一个IAM角色s3access,这样EC2就可以轻松地从S3下载。 问题是,客户端应该如何从S3下载?显然,客户端不像IAM role或Access Key那样拥有EC2。客户端似乎只有一个由signedDownloadUrl生成的aws-sdk,但它也需要访问密钥。 所以,我应该公开存储桶,然后任何客户端都可以下载,还是应该找到某种方法为客户端提供凭据?
浏览 4
提问于2017-01-12
得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
浅谈云上攻防——Web应用托管服务中的元数据安全隐患
轻松构建 PyTorch 生成对抗网络(GAN)
AWS发布新的S3智能分层归档访问层,降低用户使用成本
OpenStack 基础介绍04——各组件综述之镜像、存储和认证
pandas做数据分析(一):基本数据对象
热门
标签
更多标签
活动推荐
运营活动
广告
关闭
领券