タグ付けされた質問 「amazon-iam」

eu-west-1リージョンで多くのAWSサービスを実行しています。残念ながら、一時的なリソースを作成する必要がある多くの開発者や他の従業員は、AWSのこの側面を忘れており、EC2インスタンスの起動、S3バケットの作成などの前にこのリージョンを選択しないようです。 us-east-1リージョン。これは、AWSが常に使用するデフォルトのようです。 IAM（またはその他の方法）を介して、特定のリージョン内でのみ起動/作成するようにユーザーアカウントを制限する方法はありますか？

24 amazon-web-services  amazon-iam 

Amazon Web Servicesの特定/すべてのIAMアカウントに対して多要素認証（MFA）を有効にすることを要求することは可能ですか？ パスワード要件のオプションがあり、アカウントに追加する方法を選択する方法は明確ですが、ユーザーにMFAを強制するオプションがあるかどうかは明確ではありません。

23 amazon-web-services  amazon-iam 

「aws ec2 run-instances」コマンド（AWS Command Line Interface（CLI）から）を使用してAmazon EC2インスタンスを起動しています。起動するEC2インスタンスにIAMロールを設定したい。IAMロールが設定され、AWSウェブUIからインスタンスを起動するときにそれを正常に使用できます。しかし、そのコマンドと「--iam-instance-profile」オプションを使用してこれを実行しようとすると、失敗しました。「aws ec2 run-instances help」を実行すると、値のArn =およびName =サブフィールドが表示されます。「aws iam list-instance-profiles」を使用してArnを検索しようとすると、次のエラーメッセージが表示されます。 クライアントエラー（AccessDenied）が発生しました：ユーザー：arn：aws：sts :: xxxxxxxxxxxx：assumed-role / shell / i-15c2766dの実行は許可されていません：リソースのiam：ListInstanceProfiles：arn：aws：iam :: xxxxxxxxxxxx：instance -プロフィール/ （xxxxxxxxxxxxはAWSの12桁のアカウント番号です） Web UIでArn文字列を検索し、run-instancesコマンドで「--iam-instance-profile Arn = arn：aws：iam :: xxxxxxxxxxxx：instance-profile / shell」でそれを使用しましたが、失敗しました： クライアントエラー（UnauthorizedOperation）が発生しました：この操作を実行する権限がありません。 「--iam-instance-profile」オプションを完全に省略した場合、インスタンスは起動しますが、必要なIAMロール設定はありません。そのため、許可は「--iam-instance-profile」の使用またはIAMデータへのアクセスに関係しているようです。AWSの不具合（時々起こる）の場合に何度か繰り返しましたが、成功しませんでした。 IAMロールを持つインスタンスが、より強力なIAMロールを持つインスタンスを起動することは許可されないという制限があるのではないかと考えました。しかし、この場合、コマンドを実行しているインスタンスは、使用しようとしているのと同じIAMロールを持っています。「shell」と名付けられました（私は別のものを試してみましたが、運はありません）。 IAMロールの設定は、インスタンスから（IAMロール認証情報を介して）許可されていませんか？ IAMロールを使用するために、プレーンインスタンスを起動するために必要なものよりも高いIAMロール許可が必要ですか？ 「--iam-instance-profile」はIAMロールを指定する適切な方法ですか？ Arn文字列のサブセットを使用する必要がありますか、それとも他の方法でフォーマットする必要がありますか？ IAMロールアクセスを実行できるIAMロールをセットアップすることは可能ですか（「スーパールートIAM」...この名前を構成する場合があります）？ 参考までに、すべてはインスタンス上で実行されるLinuxに関係しています。また、これらのツールをデスクトップにインストールできなかったため、これらすべてをインスタンスから実行しています。それに加えて、ここで AWSが推奨するように、IAMユーザー認証情報をAWSストレージに配置したくありません。 回答後： 「PowerUserAccess」（vs.「AdministratorAccess」）の起動インスタンス許可については言及しませんでした。質問が行われた時点で追加のアクセスが必要であることに気づかなかったためです。IAMの役割は打ち上げに付随する「情報」であると想定しました。しかし、それは本当にそれ以上です。それは許可の付与です。

20 amazon-ec2  amazon-iam 

ユーザーに次のIAMポリシーがあります { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1395161912000", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:PutObject", "s3:*" ], "Resource": [ "arn:aws:s3:::bucketname" ] }, { "Sid": "list", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": [ "arn:aws:s3:::*" ] } ] } 目標は、ユーザーがファイルをバケットにアップロードできるようにすることですが、上書きや削除はできません。バックアップ用です。私は始まったListBucketとPutObject、しかし、追加*、それは動作しませんでしたと。*ユーザーがファイルをアップロードすることさえできず、ただ取得しAccess Deniedます。 シミュレーターを試すと、が返さDenied - Implicitly denied (no matching statements found).れますがListBucket、暗黙的に許可されているため、奇妙に思えます。 S3クライアントとしてCyber​​duckと3Hubの両方を試しました。 何が間違っているのでしょうか？

19 amazon-s3  amazon-iam 

IAMグループにEC2セキュリティグループを編集する権限を付与しようとしていますが、EC2のすべてへのアクセスを許可しない限り、これを機能させることはできません。 私はこれのいくつかのバージョンを試しました： { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1392336685000", "Effect": "Allow", "Action": [ "ec2:*" ], "Resource": [ "arn:aws:ec2:us-east-1:<MYACCOUNTHERE>:security-group/*" ] } ] } しかし、IAMユーザーでログインすると、セキュリティグループページに「この操作を実行する権限がありません」というメッセージが表示されます。 「Amazon EC2フルアクセス」にIAMポリシーテンプレートを選択すると、ユーザーはEC2のすべてにアクセスできるため、ユーザー/グループが機能していることを知っています。 私は明らかにIAMの経験があまりないので、どんな助けも大歓迎です。

16 amazon-ec2  amazon-web-services  amazon-iam 

CloudWatch監視スクリプト（mon-put-instance-data.pl）を使用すると、IAMロール名を指定してAWS認証情報を提供できます（--aws-iam-role = VALUE）。 この目的で（AWSインスタンスでmon-put-instance-data.plを実行するために）IAMロールを作成していますが、このロールにどのアクセス許可/ポリシーを付与する必要がありますか？ ご協力ありがとうございました

13 amazon-ec2  amazon-web-services  amazon-cloudwatch  amazon-iam 

ECSをセットアップしようとしていますが、これまでにいくつかの許可の問題が発生したため、このフォーラムで既にいくつかの質問を作成しています。 正直なところ、これらすべての役割の要件を1か所で簡潔に見つけることができないため、これまでのところ行き詰まっていると思います。 少なくとも2つの役割を定義する必要があるようです。 1）ECSコンテナー http://docs.aws.amazon.com/AmazonECS/latest/developerguide/instance_IAM_role.html 2）ECSタスク http://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html#enable_task_iam_roles それが正しいか？ 私は何かを見逃しましたか？特別なIAM要件はありますか？

13 amazon-iam  amazon-ecs 

Amazon Route 53のホストゾーン内のレコードセットのCNAMEをプログラムで変更したいのですが、ユーザーのアクセスをそのレコードセットのみに制限したいと思います。ドキュメントで私が見たものについて、IAMは「ホストゾーン」または「変更」にのみ基づいて操作を指定できます。これは、ユーザーが単一のレコードセットを変更するには、すべてのレコードセットを管理する必要があることを意味します。 このような場合のコードのエラーの結果は壊滅的なもの以上です。ホストゾーン名のチェックが間違っている場合、何らかの理由で、エラーのために複数のレコードセットに変更を適用することができます（同じボックス/インフラストラクチャで多くのレコードセットが指すことを想像してください）。 私の質問は、コードにエラーを作成することではなく、そのような可能性からシステムを保護するユーザーを作成することです。アクセスを制限（または回避策）して、新しいIAMユーザーが1つまたは限られた一連のホストゾーンにのみアクセスできるようにする方法があります。 プログラムではなく、IAMレベル。 ありがとうございました。

13 amazon-route53  amazon-iam 

プレーンなEC2環境内では、IAMロールと認証情報（インスタンスのメタデータから自動的に取得される）を使用して、他のAWSリソースへのアクセスを管理するのは非常に簡単です。CloudFormationを使用するとさらに簡単になり、特定のアプリケーションロールをインスタンスに割り当てると、その場でロールを作成できます。 Dockerに移行し、Mマシンとその上で実行されるNアプリケーションがあるようなM-to-N展開を行う場合、アプリケーションごとのAWSリソースへのアクセスを制限するにはどうすればよいですか？インスタンスのメタデータにはホスト上の誰でもアクセスできるため、すべてのアプリケーションが同じデプロイメント環境内の他のすべてのアプリケーションのデータを表示/変更できるようにします。 そのような環境で実行されているアプリケーションコンテナにセキュリティ資格情報を提供するためのベストプラクティスは何ですか？

11 security  amazon-web-services  docker  amazon-iam 

次のポリシーが添付されたIAMロールがあります。 { "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" } ] } ご覧のとおり、フルアクセスが許可されています。 次のpythonを使用して、IAM認証情報をSMTP認証情報に変換します。 #!/usr/bin/env python from __future__ import print_function import base64 import hashlib import hmac import json import struct import urllib2 METADATA_BASE = 'http://169.254.169.254/2012-01-12/meta-data' def main(): access_key_id, secret_access_key = get_access_creds() username, password = get_smtp_creds(access_key_id, secret_access_key) print('SMTP Username: …

10 amazon-ses  amazon-iam 

AWS Elastic Beanstalk Railsアプリがあり、S3バケットからいくつかのファイルをプルするようにconfigスクリプトで構成しています。アプリケーションを起動すると、ログに次のエラーが表示され続けます（セキュリティのためにバケット名が変更されています）。 Failed to retrieve https://s3.amazonaws.com/my.bucket/bootstrap.sh: HTTP Error 403 : <?xml version="1.0" encoding="UTF-8"?> <Error><Code>AccessDenied</Code><Message>Access Denied</Message> 設定ファイル： packages: yum: git: [] files: /opt/elasticbeanstalk/hooks/appdeploy/pre/01a_bootstrap.sh: mode: "00755" owner: root group: root source: https://s3.amazonaws.com/my.bucket/bootstrap.sh Elastic Beanstalk環境は、aws-elasticbeanstalk-ec2-roleインスタンスの役割としてIAMの役割で設定されています。この役割には次のポリシーがあります。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::my.bucket/*" } …

10 amazon-ec2  amazon-web-services  amazon-s3  elastic-beanstalk  amazon-iam 

現時点では、異なるインスタンスの特定のキーパス（つまり、フォルダー）への特定のアクセス権を持つ共有S3バケットがあります。新しいロールでインスタンスプロファイルを作成し、そのフォルダーへのアクセスに制限する問題をテストすることができました。 私の問題は、ポリシーが定義された既存の一般的な役割があり、それを各スタックの新しい役割に含められるようにしたいことです。 cloudformationでは、ある役割で定義されたポリシーを別の役割に含めることができますが、新しい役割でポリシードキュメントを再定義する必要はありませんか？ 次のようなもの： "AppTierS3AccessRole": { "Type": "AWS::IAM::Role", "Properties": { "AssumeRolePolicyDocument": { "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "ec2.amazonaws.com" ] }, "Action": [ "sts:AssumeRole" ] } ] }, "Path": "/", "Policies": [ { "Ref": "existing-policy" } ] } }, ここで重要なのは「既存のポリシー」です。既存のポリシーのarnを見つけて、それを参照してみましたが、少し行き詰まっています。

10 amazon-cloudformation  amazon-iam 

20人を超えるIAMユーザーを作成していますが、それらのユーザーに対して仮想MFAデバイスを有効にしたいと考えています。それらすべてに対して一度にそれを行う方法はありますか、またはこのタスクを自動化する方法はありますか？すべてのIAMユーザーがMFAを使用することを必須にし、設定しないと続行できません。

9 amazon-web-services  amazon-iam 

でアマゾンIAM管理コンソール、私は新しいIAMユーザーを作成し、ユーザー権限とパスワードことを割り当てます。 ただし、その新しいIAMユーザーでログインしようとすると、https： //console.aws.amazon.com/console/homeのAmazon AWSログインページからエラーが発生します。 There was a problem We can not find an account with that email address IAMユーザーが正常にログインできないのはなぜですか？

8 amazon-web-services  amazon-iam 

スナップショットを作成したいEC2インスタンスにボリュームをマウントしています。 次のポリシーで新しいIAMユーザーを作成しました。 { "Statement": [ { "Sid": "...", "Effect": "Allow", "Action": [ "ec2:CreateSnapshot", "ec2:CreateTags", "ec2:DeleteSnapshot", "ec2:DescribeAvailabilityZones", "ec2:DescribeSnapshots", "ec2:DescribeTags", "ec2:DescribeVolumeAttribute", "ec2:DescribeVolumeStatus", "ec2:DescribeVolumes" ], "Resource": [ "arn:aws:ec2:eu-west-1:MY_USER_ID" ] } ] } アクセスキーとシークレットを自分に追加し、~/.bashrcそれを入手しました。実行するec2-describe-snapshotsと、次の応答が返されます。Client.UnauthorizedOperation: You are not authorized to perform this operation. 私"Resource"がちょうどいたとき、私は"*"すべてのタイプのAmazonのスナップショットをリストすることができました。私は、eu-west-1リージョン内の自分だけが所有/表示できるスナップショットを作成したいと考えています。

8 amazon-ec2  amazon-web-services  amazon-iam