关于 ElasticSearch 访问控制的AWS 文档讨论了如何通过创建 ES 域资源策略并将资源设置为 ES 域 ARN 后跟/*. 对于例如
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/test-user"
]
},
"Action": [
"es:*"
],
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*"
}
]
}
在此示例中,test-user被授予对 ES 域子资源执行操作的权限,但不授予对 ES 域配置本身执行操作的权限。
当供应的使用CloudFormation AWS ES域,可以设置与所述资源策略AccessPolicies财产。AWS::Elasticsearch::DomainAccessPolicy不幸的是,没有 CloudFormation 资源,似乎在 ES 域上设置资源策略的唯一方法是使用此属性。
如果现在有办法知道要在现场使用的 ES 域 ARN,那么如何利用访问控制文档中推荐的策略类型Resource,因为在访问策略所在的位置尚未创建 ES 域定义?
我已经尝试DomainArn在访问策略的资源字段中引用ES 域的属性,但可以理解的是,这不起作用,因为它创建了循环依赖。
到目前为止,我想到的唯一解决方案是等到 AWS 更新 CloudFormation 以包含 …
我正在台式计算机上运行一个普通的、相当新的(一个月)安装的 Unbuntu 9.10 Karmic Koala。我的声音似乎工作正常,我可以在 Firefox 和 chrome 下听音乐以及 Flash 音频。我正在使用单个 Windows XP 来宾运行 VMWare 服务器。我的声卡在主板上。
然而,我的 /var/log/messages 充满了如下消息:
Mar 10 10:18:01 ew2155e pulseaudio[29063]: ratelimit.c: 2 events suppressed
Mar 10 10:18:23 ew2155e pulseaudio[29063]: ratelimit.c: 1 events suppressed
Mar 10 10:30:08 ew2155e pulseaudio[29063]: ratelimit.c: 2 events suppressed
Mar 10 10:30:49 ew2155e pulseaudio[29063]: ratelimit.c: 2 events suppressed
Mar 10 10:31:18 ew2155e pulseaudio[29063]: ratelimit.c: 3 events suppressed
Mar 10 10:32:27 ew2155e pulseaudio[29063]: ratelimit.c: 1 events suppressed
Mar 10 10:34:11 ew2155e pulseaudio[29063]: ratelimit.c: 3 …有许多我无法控制的 AWS 账户。我已经让账户所有者将 IAM 角色 , 部署TrustingSecurityAuditor到他们的账户中,这授予了TrustingSecurityAuditor在我的 AWS 账户中担任不同 IAM 角色的角色的权利TrustedSecurityAuditor。(关于委派访问的文档)
这非常有效,并允许我和我的安全团队为公司中的其他账户持有人提供安全审计服务。为此,我们启动了一个具有TrustedSecurityAuditorIAM 角色的 ec2 实例,我们的代码通过对每个账户的角色执行 an来使用STS从每个账户请求临时凭证。AssumeRoleTrustingSecurityAuditor
现在我想在我的账户中创建一个在不同 ec2 实例上运行的附加服务,它不仅可以承担这些“信任”账户的角色,还可以在我的账户中做其他事情,比如访问我账户的 DynamoDB 来存储信息。
如果我将该TrustedSecurityAuditor角色应用到实例,则我没有所需的本地权限(如 DynamoDB 访问权限)。
我不能将多个 IAM 角色应用于一个实例(除非我弄错了)。
当我尝试创建一个新角色时MyNewService,使用 DynamoDB 访问可以访问AssumeRole该TrustedSecurityAuditor角色,希望然后使用这些 STS 凭据对外部帐户中AssumeRole的TrustingSecurityAuditor角色进行第二次操作,我遇到了这个问题:
我能够AssumeRole从MyNewService角色到TrustedSecurityAuditor角色,但是当我做第二AssumeRole的TrustingSecurityAuditor角色AWS返回错误
用户:arn:aws:sts::123456789012:assumed-role/TrustedSecurityAuditor/MyNewService 无权执行:sts:AssumeRole 资源:arn:aws:iam::123456789012:role/TrustingSecurityAuditor
这样做的原因是“用户”尝试的AssumeRole是
arn:aws:sts::123456789012:assumed-role/TrustedSecurityAuditor/MyNewService
不是
arn:aws:sts::123456789012:assumed-role/TrustedSecurityAuditor
这意味着您不能链接您的AssumeRole …