AWS re:Postを使用することにより、以下に同意したことになります 利用規約

タグ付けされた質問 AWS Identity and Access Management

コンテンツの言語: 日本語

並べ替え 最新

以下に記載されている質問と回答を閲覧したり、フィルタリングして並べ替えて結果を絞り込んだりできます。

  • 1
  • 12 件 / ページ

タグ情報を使用したIAMポリシー制御

特定のタグ情報(キーと値)が付与されたリソース(EC2インスタンス、S3バケット)の操作が可能となる制御をポリシーで実装したいと考えております。 「ec2:ResourceTag」や「s3:ResourceTag」を使用することで実現できると想定しており、以下のポリシーを適用したところ、マネジメントコンソール上から全てのEC2インスタンス、S3バケットが表示されない状態となってしまいます。 エラーメッセージは「インスタンスデータ You are not authorized to perform this operation. の取得中にエラーが発生しました。」と表示されます。 IAMポリシーにて特定のタグ情報が付与されたリソースのみ操作可能とする制御の実現可否及び実現可能な場合、ポリシーの例をご教示頂けませんでしょうか。 なお、ポリシーは可能な限り簡素化して作成したく、Actionを細かく設定することは避けたいと考えております。 ■適用したポリシー { "Version": "2012-10-17", "Statement": \[ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:*", "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/tag-key": "tag-value" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "s3:*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/tag-key": "tag-value" } } } ] }
4
回答
0
投票
7
ビュー
質問済み 2年前

AssumeRoleWithWebIdentity を実行するための IAM ポリシー

ユーザフェデレーションを行うために python で lambda によるサービスを開発しようとしています。 この lambda はまず GetOpenIdTokenForDeveloperIdentity を呼び出して AWS 上の ID プールからトークンを取得し、それから AssumeRoleWithWebIdentity を呼び出します。しかしながら、lambda が AssumeRoleWithWebIdentity を呼び出そうと試みるとエラーになります。 ``` "An error occurred (AccessDenied) when calling the AssumeRoleWithWebIdentity operation: Not authorized to perform sts:AssumeRoleWithWebIdentity ``` lambda のロールに付けられている信頼関係とポリシーは以下の通りです。 ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "lambda.amazonaws.com", "Federated": "cognito-identity.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:AssumeRoleWithWebIdentity" ] } ] } ``` ``` { "Version": "2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "cognito-identity:GetOpenIdTokenForDeveloperIdentity", "sts:AssumeRoleWithWebIdentity" ], "Resource": "*", "Effect": "Allow" } ] } ``` これで AssumeRoleWithWebIdentity を呼び出すのに十分なポリシーと信頼関係が付けられているのか分かりますでしょうか。些細なことでもご教授いただけましたら幸甚です。 念の為、以下が lambda のコードの断片になります。 ``` # 'provider_name' is a custom provider name set in an identity pool in AWS cog_cli = boto3.client('cognito-identity') cog_id_res = cog_cli.get_open_id_token_for_developer_identity( IdentityPoolId=os.environ['IDENTITY_POOL_ID'], Logins={ provider_name: user_id } ) sts_cli = boto3.client("sts") sts_res = sts_cli.assume_role_with_web_identity( RoleArn=os.environ['TARGET_ROLE_ARN'], RoleSessionName=user_id, WebIdentityToken=cog_id_res['Token'] ) ```
1
回答
0
投票
2
ビュー
質問済み 3年前

Cloud9からクロスアカウントのCodeCommitアクセスについて

クロスアカウント環境において、 accountA に構築したCloud9から accountBに構築したCodeCommitへ統合を行いたいと考えています。 以下のドキュメントを参考にしているのですが、 "AWS Cloud9 と AWS CodeCommit を統合する"はシングルアカウントでの設定であり、 "AWS CodeCommit リポジトリにクロスアカウントアクセスを設定する"はローカルクライアントからの設定方法であり、Cloud9では利用できないようでした。 AWS Cloud9 と AWS CodeCommit を統合する https://docs.aws.amazon.com/ja_jp/codecommit/latest/userguide/setting-up-ide-c9.html AWS CodeCommit リポジトリにクロスアカウントアクセスを設定する https://docs.aws.amazon.com/ja_jp/codecommit/latest/userguide/cross-account.html 実際に、"AWS CodeCommit リポジトリにクロスアカウントアクセスを設定する" を参考にローカルのWindows環境からは、CodeCommitにアクセスができたのですが、 同じユーザで作成、ログインしたCloud9からクロスアカウントのリポジトリにアクセスができず、 not foundとエラーが返ってきてしまいます。 !# Do not modify this file, if this file is modified it will not be updated. If the file is deleted, it will be recreated on Thu Aug 29 2019 07:59:46 GMT+0000 (UTC). と書かれている、 ~/.aws/credentials に "AWS CodeCommit リポジトリにクロスアカウントアクセスを設定する" の role_arn =を追記してもだめでした。 何か方法はありますでしょうか。
1
回答
0
投票
3
ビュー
qryuu
質問済み 3年前

I AM内の各ページや他サービスへのアクセス権限を復活させられません

昨日(10/10)、I AMを使い始めました。 設定の際に一番最初に作成したグループやユーザー、ポリシーを消去してしまったことが原因なのか、 その後I AM内の各ページをクリックするもアクセス権限がないとエラーが出てしまいました。 ダッシュボードでは以下のエラー文です。 「リクエストの処理中に次のエラーが発生しました: User: arn:aws:iam::アカウント番号:user/ユーザー名 is not authorized to perform: iam:GetAccountSummary on resource: * User: arn:aws:iam::アカウント番号:user/ユーザー名 is not authorized to perform: iam:ListAccountAliases on resource: *」 ポリシーを再設定しようにも以下のエラー文です。 「アクセス権限が必要です このオペレーションを実行するための必要なアクセス権限がありません。管理者にアクセス権限を追加するよう依頼してください。 詳細はこちら。 User: arn:aws:iam::アカウント番号:user/ユーザー名 is not authorized to perform: iam:ListPolicies on resource: policy path /」と出てしまい、編集できません。 その他のページ、cloud9やS3にもアクセスできません。アカウントの削除すらできないため非常困っています。 ちなみに私はAWSのルートユーザーです。 個別案件のため、本来ならばAWSサポートに連絡すべきなのでしょうが、サポートページでも権限が無くサービスリストが選べないことで連絡できずにいます。英語版のForumも含め、丸一日調べても解決しなかったためここで相談させてください。 よろしくお願いいたします。
1
回答
0
投票
1
ビュー
質問済み 4年前
  • 1
  • 12 件 / ページ