- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
我有一个运行服务器的 Amazon EC2 实例,该服务器需要为其客户端(Windows 7/8、iPad 等)提供对 S3 资源的联合访问。到目前为止,我已经创建了以下内容:
通常,客户端会请求获取或将对象放入 S3 的访问权限,绝不会删除。所以在放文件的情况下,与其让客户端将文件上传到服务器,再从服务器转发到S3,不如提供临时访问凭证让客户端直接将文件放入合适的S3 bucket .
这是 EC2 实例 IAM 角色的样子:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": "arn:aws:s3:::devtestbucket/*"
},
{
"Effect": "Allow",
"Action": [ "sqs:*" ],
"Resource": "arn:aws:sqs:us-west-2::dev-*"
},
{
"Effect": "Allow",
"Action": [ "dynamodb:*" ],
"Resource": "arn:aws:dynamodb:us-west-2::dev-*"
},
{
"Effect": "Allow",
"Action": [ "sts:*" ],
"Resource": "*"
}
]
}
STS token 发行者 IAM 用户策略是:
{
"Statement": [
{
"Action": [
"sts:GetFederationToken"
],
"Effect": "Allow",
"Resource": [
"arn:aws:sts:::federated-user/*"
]
},
{
"Action": [
"s3:*"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::devtestbucket"
]
}
]
}
在我的服务器端代码中,我创建了 STS 客户端、联合 token 请求并进行了 GetFederationToken 调用,如下所示:
var stsClient = new AmazonSecurityTokenServiceClient(stsTokenIssuerAwsAccessKeyId, stsTokenIssuerAwsSecretAccessKey);
var request = new GetFederationTokenRequest
{
Name = GenerateIamFederatedUserName(), // I know this is correct
DurationSeconds = (int)TimeSpan.FromHours(6).TotalSeconds,
Policy = GenerateSTSPolicy(objectPrefix, permittedActions) // This works as expected too
};
var fedTokenResponse = stsClient.GetFederationToken(request);
我无法分享 Generate* 函数的实现,但我知道这些工作。
奇怪的是。如果我使用与用户绑定(bind)的 IAM 用户凭证,该用户的访问策略看起来与上面显示的 EC2 实例角色完全一样,则一切都按预期工作,并且客户端能够执行所有预期的 S3 操作。
在所有这些背景下,我的问题是:EC2 实例上已被赋予特定角色的应用程序是否仍能为其客户端提供联合访问?如果是这样,上述策略是否正确授予应用程序访问这些 AWS 操作的权限,即请求和提供可以访问 S3 资源的 sts 联合 token ?如果不是,应如何修改它们以允许此类访问?
最佳答案
为了让这个场景起作用,我必须将策略的 STS GetFederationToken 部分分离到它自己的策略中。因此,必须有 2 个策略,一个用于 STS,一个用于其他 AWS 服务:
STS 政策:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"sts:GetFederationToken"
],
"Sid": "Stmt1382573256000",
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
S3 访问策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:List*"
],
"Sid": "Stmt1382573312476",
"Resource": [
"arn:aws:s3:::devtestbucket"
],
"Effect": "Allow"
},
{
"Action": [
"s3:*"
],
"Sid": "Stmt1382573312000",
"Resource": [
"arn:aws:s3:::devtestbucket/*"
],
"Effect": "Allow"
}
]
}
不确定为什么会这样。如果有人能解释为什么需要两项政策而不是一项政策背后的原因,那就太好了。
希望这对某人有帮助。
关于c# - 从在已分配 IAM 角色的 Amazon EC2 实例上运行的 C# .NET 应用程序为联合用户创建 STS token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19552659/
我正在通过修改我为处理 slice 而创建的库来玩转泛型。我有一个 Difference接受 slice 并返回仅在其中一个 slice 中找到的唯一元素列表的函数。 我修改了函数以使用泛型,并且我正
Typescript 编译器 在我尝试使用联合或多个类型/接口(interface)时不断抛出错误。 My requirement 我从服务器收到一个对象作为响应,其中一个键 ('errorMessa
我需要在 SQLAlchemy 中执行 2 选择。例如: select1 = Session.query(col1, col2, col3, col4).filter(...) select2 = S
我建立了一个数据库来输入我所有的头痛和偏头痛跟踪数据。我正在提取一些查询,这些查询显示某一年中按月计算的不同头痛严重程度的计数。我有一个查询按月得到所有头痛,另一个在一定严重程度下得到头痛,最后一个在
我有三个表,一个是默认值表。 我需要做的是选择 TableA 和 TableB 的值,并从默认值的选择中回填任何缺失的值。 每个表都有一个键和值列。 数据的一个例子可能是这样的: DefaultTab
我正在尝试构建一个 单个 JSONPath 查询 ,它将测试 是否存在两个或多个路径 。 让我们考虑以下示例文档: { "firstName": "John",
我正在尝试基于对象中的嵌套属性创建联合类型。请参见下面的示例: type Foo = { abilities: { canManage: boolean } } typ
我有以下查询: SELECT result.globalId AS id, result.date, p1.playerName AS player, p2.playerName AS targe
我有两张 table 。第一个每天刷新。(该表有超过 10 列,但其中 2 列是相关的)我想根据 vid (这是一个唯一的 id )和人口进行每日统计。新的视频 ID 每天都会出现和消失。例如: 第一
这个问题已经有答案了: How to know what table a result came from when using UNION in MySQL (1 个回答) 已关闭 6 年前。 让我
我有 2 个表,一个列出人员及其与其属性的关系,另一个表列出属性(名字、姓氏等)。 人员表中的每个人可能不具有属性表中列出的所有属性。我想要的是每个人都为每个属性返回一行,无论他们是否有链接。 举个例
假设我们有 MySQL 服务器 A,我们需要在其中创建位于服务器 B 上的表的“副本”。 我们没有启用联合。重置服务器 A 会造成很多麻烦,我相信,我们不能在不重置的情况下启用联合。我也认为在B服务器
我有一个 Java 类 A。A 的构造函数调用了几个方法 m1、m2。 class A{ public A(){ m1(); m2(); ......
我正在开发一种编程语言,我想为其提供一个Range 数据类型,目前它不是通常的int 对列表。值 (x,y)约束条件是 x < y .我说不像通常那样,因为通常一个范围只是一对,但在我的例子中,它超过
我正在寻找加速一段合并两个 SortedLists 的代码。 C# 4.0 通用 SortedList:http://msdn.microsoft.com/en-us/library/ms132319
如果我有以下包含函数及其参数的联合,我该如何调用它? type Wrapper = { fn: (a: string) => void arg: string } | { fn: (a:
我正在尝试移植一个内部有一个联合的 C 结构。 Winapi.Winsock2.pas 中的默认结构记录中缺少某些字段。 但这是正确的方法吗?谢谢。 typedef struct _WSACOMPLE
我希望通过“版本”编号的前 8 个字符的子字符串对以下查询的结果进行排序。我理解 SUBSTRING(),所以不要用这个来打扰我。我的问题是尝试实际放置关于 UNION 的 ORDER BY。 更新:
我需要创建一个带有联合的 QueryBuilder,这可能吗? $qb = $this->em->createQueryBuilder() ->select('table1.numObject
我正在为 Magic the Gathering Cards 创建库存系统,需要使用主要卡片信息更新价格。 我有两个表,卡片和价格 卡片有以下列:ID、姓名、Ed、价格 价格有以下列:姓名、Ed、价格
我是一名优秀的程序员,十分优秀!