我正在尝试创build适当的AWS IAM组来实施最低特权。 是否最好创build明确拒绝特定操作并允许其他任何操作的组,或创build仅允许所需的特定操作的组? AWS的策略评估逻辑与我使用的有所不同。 对于实例,说我想要下面的影响。 一些pipe理员可以执行任何操作,除了访问IAM(Powerusers)或对CloudFormation进行更改。 一些pipe理员可以做任何事情,除了访问IAM。 一些pipe理员可以做任何事情。 最好是这样devise: Admins: Can do anything. AdminsNoIAM: Can do anything with explicit deny to IAM. AdminsNoCloudFormation: Can do anything with explicit deny to CloudFormation. 要么 Admins: Can do anything. AdminsLimited: Can do anything explicitly listed, cloudformation and IAM not listed. CloudFormationAdmins: Explicitly allows CloudFormation access. 这似乎是第一个select是最简单的实现,但感觉它可能会有点笨拙。 我可能不会习惯AWS处理显式拒绝的方式。 谢谢!
我正在运行nginx(nginx / 1.10.0)作为我的web服务器后面的AWS ELB与Drupal 7和使用php7.1问题是http://工作正常,但与https:// url相同的网站只服务页面的https组件而不是像https等非https组件 AWS ELB端发生ssl终止 这是我的nginxconfiguration server { listen 80 default_server; listen [::]:80 default_server; listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name site_url; root /var/www/html/smb; index index.php index.html index.htm ; error_page 404 = @smb; location @smb { rewrite ^(.*)$ /index.php?q=$1 last; } location ~ \.php$ { include snippets/fastcgi-php.conf; fastcgi_pass […]
我的网站托pipe在github上,我的www和@指向github。 我的网站工作正常。 我最近做了一个在AWS上托pipe的WordPress博客。 我想将blog.mydomain.com指向AWS EC2。 有可能没有使用屏蔽的URLredirect? 这是否会伤害SEO? 谢谢。
众所周知,点击下拉框很烦人。 我一直在试图得到一个通用的策略存根(一个包含所有Actions的存根,而不仅仅是globs),所以我可以快速地通过并允许/拒绝我们的组策略。 我已经查看了CLI命令并且没有看到任何东西,我也看了一下策略生成器,但是它要么单击一切,要么*:*这是不好的… 有没有办法生成一个完整的存根(stub),或者是某个在线的某个地方有人生成了一个我可以使用的完整策略存根? 结果应该是这样的… { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1496337889000", "Effect": "Allow", "Action": [ "discovery:CreateTags", "discovery:DeleteTags", "discovery:DescribeAgents", "discovery:DescribeConfigurations", "discovery:DescribeExportConfigurations", "discovery:DescribeTags", "discovery:ExportConfigurations", "discovery:ListConfigurations", "discovery:StartDataCollectionByAgentIds", "discovery:StopDataCollectionByAgentIds" ], "Resource": [ "*" ] }, { "Sid": "Stmt1496337865000", "Effect": "Allow", "Action": [ "batch:CancelJob", "batch:CreateComputeEnvironment", "batch:CreateJobQueue", "batch:DeleteComputeEnvironment", "batch:DeleteJobQueue", "batch:DeregisterJobDefinition", "batch:DescribeComputeEnvironments", "batch:DescribeJobDefinitions", "batch:DescribeJobQueues", "batch:DescribeJobs", "batch:ListJobs", "batch:RegisterJobDefinition", "batch:SubmitJob", "batch:TerminateJob", "batch:UpdateComputeEnvironment", […]
AWS新手在这里。 我在我的AWS账户中有一个在EC2上运行的应用程序,我正在为客户构build。 我希望客户以某种方式能够支付EC2实例的每月运营成本,同时还可以完全控制运营。 有没有办法让第三方帐户能够支付特定EC2实例的帐单? 如果不是,build议的解决方法是什么? 澄清,从评论复制 为了明确我的需求,我是一个承包商,并为公司build立了一个应用程序。 原来雇用我的人已经被公司解雇了,我的发票正在被财务部门质疑。 我想让公司在分析这个问题的同时使用这个应用程序,但是仍然希望能够控制这个应用程序作为杠杆点,以防它们被遮挡。 我不想承担运营成本,但仍然允许他们在审查过程中运行应用程序
这可以通过简单的方式使用pipe理控制台吗? 我目前的做法是通过每一卷,并检查“附件信息”。 但这是一个相当乏味的方法。
我正在使用AWS Elastic Load Balancer,并设置了以下规则将httpstream量转换为https 。 /etc/httpd/conf.d/httpd_redirect.conf <VirtualHost *:80> RewriteEngine On RewriteCond %{HTTP:X-Forwarded-Proto} !https RewriteCond %{HTTP_USER_AGENT} !^ELB-HealthChecker RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L] </VirtualHost> 但是,当我通过域名( www.thewhozoo.com )访问我的网站时,我可以看到协议是http而不是https 。 任何想法,为什么重写规则不起作用? 谢谢 更多信息 /etc/httpd/conf/httpd.conf … Include conf.d/*.conf Include conf.d/elasticbeanstalk/*.conf … 以上是在部署时创build的: .ebextensions/myapp.config container_commands: 01_setup_apache: command: "cp .ebextensions/enable_mod_deflate.conf /etc/httpd/conf.d/enable_mod_deflate.conf" files: "/etc/httpd/conf.d/httpd_redirect.conf" : mode: "000644" owner: root group: root content: | <VirtualHost […]
我们有一个使用CloudFormationconfiguration的AWS Lambda(更广泛的AWS堆栈的一部分)。 要求我们在这个Lambda上实现/configurationX-Ray 。 公司政策禁止我们(基于angular色/帐户的angular色)访问AWS控制台,这是我们使用CloudFormation定义我们的AWS堆栈的原因之一; 但这意味着我们无法通过AWS控制台启用X-Ray(通常是这样做的)。 不幸的是,我们还没有find与CloudFormation一起使用X-Ray的文档。 回顾CloudFormation发布历史,我们发现X射线确实没有出现在列表中。 看来CloudFormation不支持以这种方式用X-RayconfigurationLambda。 我们还发现了一个名为TracingConfig的东西, 可以通过CloudFormation来启用。 然而,没有太多的文档说明这是干什么的,或者输出结果是什么样的。 我们发现的与此有关的信息有希望的一点是, TracingConfig和X-Ray文档都提到了他们称之为“主动跟踪”的东西。 因此,我的问题最终是,我们能够从TracingConfig获得多less信息,以及如果我们能够使用这些信息, X-Ray将提供多less信息? 要么 有没有在CloudFormation中启用X-Ray的无证方法?
目前我们需要迁移一个大约1TB的桶,但是它包含大量的文件分割成多个子目录层。 如果我了解定价,在同一地区的桶之间正确地移动数据应该是免费的: “S3桶之间或从S3到同一地区内的任何服务之间的转移都是免费的”。 从AWS文档看,build议使用aws s3 cli同步文件。 在这种情况下,我会运行aws s3 sync s3://oldbucket s3://newbucket 。 在与桶相同的区域运行的ec2实例。 但是,我仍然不会被收取GET / PUT请求吗? 在这种情况下,存储成本不是问题,我只是担心大量的小文件会造成巨大的请求成本。 如果有人有更好的见解,我会很放心。
我试图创build一个像Name: SG-StackName这样的标签Name: SG-StackName 。 此代码在json中完美工作: "Resources": { "SecurityGroup": { "Type": "AWS::EC2::SecurityGroup", "Properties": { … "Tags": [{ "Key": "Name", "Value": { "Fn::Join" : [ "", [ "SG-", { "Ref" : "AWS::StackName" } ]] } } ] } }, 现在我试图把它转换成yaml: Resources: SecurityGroup: Type: AWS::EC2::SecurityGroup Properties: … Tags: – Key: Name – Value: !Join – '' – – […]