博客园  :: 首页  :: 管理

随笔分类 -  [04]AWS记录类 / AWS-IAM&权限

摘要:笔者使用的ELB中的NLB,以NLB为例 日志配置,笔者只写到简单的桶级别,最后没有/符号 ,S3的策略如下 { "Version": "2012-10-17", "Id": "AWSLogDeliveryWrite", "Statement": [ { "Sid": "AWSLogDelivery 阅读全文

posted @ 2024-04-02 17:26 520_1351 阅读(86) 评论(0) 推荐(0) 编辑

摘要:如果一个AMI中的卷带有KMS加密,这个KMS需要是自己创建的 如果是使用了AWS自己托管的,那么那个AMI将不支持分享到其他账号,所以这个需要注意一下 目标:可以分享给其他账号,其他账号可以使用AMI创建机器,创建的过程中,还可以修改成自己账号下的KMS 1、为AMI卷使用的KMS策略中,添加其他 阅读全文

posted @ 2024-01-04 16:59 520_1351 阅读(14) 评论(0) 推荐(0) 编辑

摘要:笔者在再执行aws iam相关的命令时,一直卡信,然后笔者加上 --debug,查看更多的调试信息,如下 [qq-5201351@localhost ~]$ aws iam list-users --profile prod --debug 2023-10-11 10:23:57,730 - Mai 阅读全文

posted @ 2023-10-11 10:36 520_1351 阅读(66) 评论(0) 推荐(0) 编辑

摘要:因最近需要进行网络数据流量分析,需要捕获一个子网的流量、验证对端的数据是否有到达AWS的VPC中指定的子网 于是决定对那个子网创建一个流日志,关于流日志的创建,可以发送到如下 CloudWatch Logs, Amazon S3 存储桶,Kinesis Firehose 这里笔者为了方便分析,于是决 阅读全文

posted @ 2023-10-08 10:48 520_1351 阅读(33) 评论(0) 推荐(0) 编辑

摘要:背景:需要为一台EC2创建一个IMA,Role,用于访问和管理指定的S3 bucket,要求对S3 Bucket有安全的控制权限 细节点:S3 使用了KMS加密,也是需要考虑到这一点的,控制权限时,应该也要限定到具体的某个KMS 实现,在IAM中,创建一个用于EC2的Role,在Role中创建一个P 阅读全文

posted @ 2023-08-01 10:00 520_1351 阅读(165) 评论(0) 推荐(0) 编辑

摘要:对于很多公司来说、都会要求在登录云平台,如AWS云,阿里云,或者堡垒机Console ,甚至操作系统时,都会要求登录时,进行二次认证 也即是多因素,多因子,MFA认证,关于多因素认证、一般有短信验证码,软件生成code,或者邮件接收Code,都可以实现 今天笔者主要讲述,如何通过python代码进行 阅读全文

posted @ 2023-07-15 12:22 520_1351 阅读(439) 评论(0) 推荐(0) 编辑

摘要:在AWS中,创建磁盘,或者从快照中创建EBS磁盘时,都可以选择指定的KMS加密 这样IAM用户就必须得有KMS相关的权限,可以在IAM中添加策略、也可以在KMS中进行策略的添加 这里笔者主要讲述在KMS的policy中,如何添加,可以将如下的json写入到密钥策略中Statement字段中 { "S 阅读全文

posted @ 2023-07-15 11:30 520_1351 阅读(42) 评论(0) 推荐(0) 编辑

摘要:aws iam list-role-policies --role-name xxxx list-role-policies — AWS CLI 1.27.104 Command Reference (amazon.com) Lists the names of the inline policie 阅读全文

posted @ 2023-04-01 14:08 520_1351 阅读(27) 评论(0) 推荐(0) 编辑

摘要:关于如何使用命令行创建policy,可以参考笔者的另一篇文章《关于IAM-基于aws-cli的方式创建Policy策略-以及需要的最小的权限-Policy策略》这里笔者主要讲,如何使用aws cli方式的命令行将policy策略attach添加到指定的role当中,命令如下: aws --profi 阅读全文

posted @ 2023-03-31 22:39 520_1351 阅读(82) 评论(0) 推荐(0) 编辑

摘要:有时我们需要通过命令行去创建Policy,可以使用如下aws cli命令 aws --profile 123 iam create-policy --policy-name policy-operator-role-2023-03-31 --policy-document file://author 阅读全文

posted @ 2023-03-31 22:02 520_1351 阅读(141) 评论(0) 推荐(0) 编辑

摘要:安全组,是在EC2这个服务界面,当然安全组实际上主要是绑定到网络接口上的 如果要操作安全组、包括创建、修改、删除等所有的操作,需要定义EC2:相关的安全组权限,如下: 笔者里的建议的先决条件,可以先添加 AmazonEC2ReadOnlyAccess,核心的policy写法如下: { "Sid": 阅读全文

posted @ 2023-03-31 13:04 520_1351 阅读(148) 评论(0) 推荐(0) 编辑

摘要:在AWS云平台运维工作中,可能经常会涉及到升降级EC2 instance 实例的机型,如为了提升配置性能,也有为了节省成本 需要如果升级级机型,至少是需要配置EC2的:"ec2:ModifyInstanceAttribute" 权限 但是建议/推荐的先决权限如下: 1、AmazonEC2ReadOn 阅读全文

posted @ 2023-03-30 17:11 520_1351 阅读(63) 评论(0) 推荐(0) 编辑

摘要:如果在aws中,如果需要赋予用户/组,或者是role权限,让其拥有对EC2实例进行开机、关机、重启的操作 一般来说是需要如下几条权限的,重启,开机和关机 但是这样,我们可能有时还会遇到一个问题,就是有的EC2的系统EBS卷使用了KMS加密,这时在开机时还是会遇到KMS相关的权限问题 当然,用户或角色 阅读全文

posted @ 2023-03-30 13:35 520_1351 阅读(92) 评论(0) 推荐(0) 编辑

摘要:因为想在服务器上运行aws上的某个Lambda函数,于是执行如下命令 aws lambda invoke --function-name My-fuction out --log-type Tail 但是有报错:function:My-fuction because no identity-base 阅读全文

posted @ 2023-01-31 12:48 520_1351 阅读(148) 评论(0) 推荐(0) 编辑

摘要:aws中policy,也即是策略,可以通过编写策略配置权限,然后将policy附加到【Role,User group ,User】上 因此policy是非常基本的元素,它分为普通policy和inline policy,两种都是可以绑定到如上三种实体中,而且编写规则一样 这里笔者简单以一段polic 阅读全文

posted @ 2022-11-24 16:32 520_1351 阅读(395) 评论(0) 推荐(0) 编辑