问题范围 我有一个使用多个云形成模板构build的应用程序。 他们需要互相交stream,但是太大/太复杂,无法在一个模板中构build。 场景的细节 想象一下,只有两个模板(显着更多) 模板A 模板B 模板A创build一个安全组(安全组A)作为唯一的入口规则。 它应用于此模板中执行相同function的一系列主机。 模板B创build另一个安全组(安全组B)和一些主机(在弹性beanstalk中)。 题 如何使用云形成为来自安全组B的stream量添join口规则到安全组A ? 我试过了什么 我已经查看了文档,我想创build一个安全组Ingress规则,并将其与安全组A关联,但似乎并不可行,据我所见 – http://docs.aws.amazon.com /AWSCloudFormation/latest/UserGuide/aws-properties-ec2-security-group-rule.html 其他select 我可以使用安全组B中所有主机的CIDR范围,因为在构build这些主机之前,所有这些主机都是已知的(所有VPC都有独立的子网),但是我觉得必须有比接受来自cidr范围。
我无法为特定用户创buildIAM策略来授予启动和停止EC2实例的权限。 我已经尝试了几种方法,但我无法find错误。 这是我的政策: { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1468227127000", "Effect": "Allow", "Action": [ "ec2:DescribeInstances" ], "Resource": [ "*" ] }, { "Sid": "Stmt1468227157000", "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": [ "arn:aws:ec2:region:user:instance/instance-ID" ] } ] } 正如我已阅读,我不能描述只有一个实例,在第一部分我描述了所有我的ec2实例,它的工作,但在第二部分,我允许用户启动和停止一个实例,但我无法启动它。
我有一个AWS账户希望用来pipe理我所有的AWS资源。 不过,我也希望创build允许在我的帐户下创build所需资源的用户组,并仅查看和pipe理这些资源。 限制每组用量的能力也是理想的,但不是必需的。 这可能吗? 如果是这样,怎么样?
我正在尝试在课堂中创buildAWS IAMangular色。 目的是要有一个账户用于集中计费,但是每个学生都有一套凭证,以便将其login到AWS控制台,以便pipe理某些资源。 例如,我希望用户能够根据官方的AMI在大小为t2.micro或t2.small的us-east-1中启动/停止EC2实例。 据我所知,这是从https://d0.awsstatic.com/whitepapers/aws-setting-up-multiuser-environments-education.pdf的情况2。 但是我找不到IAM策略的任何工作示例。 我试图创build一个IAM来覆盖这个场景,但是它并不像预期的那样工作。 当我尝试创build一个接受的实例时,出现了有关创buildVPC的错误。 另一个也可以看到现有的密钥对/安全组。 只有创build实例并查看/pipe理它们的用户才是重要的。 这是我试过的: { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeKeyPairs", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": [ "arn:aws:ec2:us-east-1:account:instance/*", "arn:aws:ec2:us-east-1:account:key-pair/*", "arn:aws:ec2:us-east-1:account:security-group/*", "arn:aws:ec2:us-east-1:account:network-interface/*", "arn:aws:ec2:us-east-1:account:volume/*" ] }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:us-east-1:account:instance/*", "arn:aws:ec2:us-east-1:account:key-pair/*", "arn:aws:ec2:us-east-1:account:security-group/*", "arn:aws:ec2:us-east-1:account:network-interface/*", "arn:aws:ec2:us-east-1:account:volume/*" ] }, { "Effect": "Allow", "Action": […]
在EC2中启动到我们VPC的实例需要HTTP_PROXY和合作伙伴才能访问位于VPC之外的任何东西。 现在我遇到了一个问题(使用数据pipe道),在这里我无法控制为cloud-config传入的用户数据。 鉴于没有设置代理,我可以在cloud-init用户脚本中看到wget挂起(尝试连接)。 在/etc/environment设置了环境variables,看起来这不是在运行级别3(这使用一个积极的古老的Amazon Linux 2013.03 , ps axf表明它是从runlevel 3调用,但我不得不承认我不熟悉各种init守护进程及其与cloud-init的交互): 1354 ? S 0:00 \_ /bin/bash /etc/rc3.d/S99cloud-init-user-scripts start 1355 ? S 0:00 \_ /usr/bin/python2.6 /usr/bin/cloud-init-run-module once-per-instance user-scripts execute run-parts /var/lib/cloud/data/scripts 1356 ? S 0:00 \_ /bin/bash /usr/bin/run-parts /var/lib/cloud/data/scripts 1360 ? S 0:00 \_ /bin/bash /var/lib/cloud/data/scripts/part-000 1362 ? S 0:00 \_ wget -O remote-runner-install -N http://datapipeline-ap-southeast-2.s3.amazonaws.com/ap-southeast-2/bootstrap-actions/latest/TaskRu… […]
我们有创build快照并将其复制到其他区域的过程。 以前我以为只有在复制完成之后我才能删除原来的那个,但是刚才发现即使我把源快照删除之后立刻复制到其他区域,复制进度仍然有效,达到100%,目标快照变得可用。 所以,这样做是否安全,如果是的话,这将是方便的,因为我们不需要在删除原始快照之前定期运行和检查复制进度。
我们正在设置cookie上的secure标志 ,而nginx拒绝传送它们,因为我们正在通过HTTP进行通信。 这是完全可以理解的,因为这是预期的行为。 然而,在nginx之前,我们运行一个Classic Load Balancer(以前称为Elastic Load Balancer),它接受来自Internet的HTTPSstream量,并通过HTTP与我们的内部networking上的nginx进行通信。 那么,有没有办法告诉nginx不去掉cookie,因为整个连接是可信的?
RDS在rest时提供encryption,但这与跨区域复制不兼容。 该文件指出: 由于KMSencryption密钥是特定于其所在的区域的,因此无法将encryption的快照从一个区域复制到另一个区域,或者跨区域复制encryption的数据库实例。 但是, 现在可以上传自定义的KMS主密钥 。 如果我生成自己的主密钥,并将其上传到eu-west-1和eu-central-1,是否可以跨区域复制encryption的RDS实例? 文档没有提到这种情况。 现在可能在技术上是可行的,但API不允许。
如何编辑由Terraform创build的AWS VPN中的入口和出口以及默认安全组的标签 我曾经尝试过: resource "aws_security_group" "default" { name = "default" description = "default VPC security group" vpc_id = "${aws_vpc.default.id}" tags { Name = "Do Not Use" } } 但我不断收到: 错误创build安全组:InvalidParameterValue:不能使用保留的安全组名称:默认 任何想法如何被操纵。
我在AWS账户上进行了一些清理工作,我发现很多angular色几乎都没有被使用。 该帐户有许多正在使用的服务,所以手动检查是不切实际的。 有没有办法知道一个特定的AWSangular色被使用了多less次? 如果可能的话,哪些服务和/或实例正在使用它?