Ich füge AWS IAM-Benutzerrichtlinien programmgesteuert hinzu und entferne sie. Die Anwendung dieser Richtlinien führt zu inkonsistenten Ergebnissen.
Dies kann beispielsweise erfolgreich sein oder auch nicht (ich verwende das Java 1.6.6 SDK):
- Beginnen Sie mit einem Benutzer, der aus einem bestimmten Bucket lesen kann
- Benutzerrichtlinien löschen (Richtlinien auflisten und dann für jede "deleteUserPolicy" aufrufen)
- Warten Sie, bis der Benutzer keine Benutzerrichtlinien mehr hat (rufen Sie "listUserPolicies" auf, bis ein leerer Satz zurückgegeben wird).
- Versuch, aus dem Eimer zu lesen (dies sollte fehlschlagen)
Wenn ich einen Haltepunkt zwischen # 3 und # 4 eingebe und einige Sekunden warte, kann der Benutzer nicht aus dem Bucket lesen, was ich erwarte. Wenn ich Haltepunkte entferne, kann der Benutzer aus dem Bucket lesen, was falsch ist.
(Dies ist auch inkonsistent, wenn ich eine Richtlinie hinzufüge und dann auf eine Ressource zugreife.)
Ich möchte wissen, wann sich eine Richtlinienänderung auf die Komponente (S3, SQS usw.) ausgewirkt hat, nicht nur auf das IAM-System. Gibt es eine Möglichkeit, eine Quittung oder Bestätigung davon zu erhalten? Oder gibt es eine gewisse Wartezeit?
Gibt es Unterlagen zu den Interna der Richtlinienanwendung?
(Zu Ihrer Information, ich habe meine Frage von https://forums.aws.amazon.com/thread.jspa?threadID=140383&tstart=0 kopiert. )
InvalidStructureException: CodePipeline is not authorized to perform AssumeRole on role <arn of the freshly created role>
Problem tritt so lange auf, bis ich manuell 10 Sekunden zwischen der Rollenerstellung und der CodePipeline-Erstellung gewartet habe.Ich habe hier eine weitaus weniger wissenschaftliche Antwort ... aber ich denke, es wird einigen anderen Menschen helfen, sich weniger verrückt zu fühlen :). Ich dachte immer, die Dinge funktionierten nicht, während sie nur mehr Zeit in Anspruch nahmen als ich erwartet hatte.
Letzte Nacht habe ich eine Inline-Richtlinie hinzugefügt, damit ein Host Parameter vom Systemmanager abrufen kann. Ich dachte, es funktioniert nicht, weil meine CLI-Befehle viele Minuten nach der Änderung (vielleicht 5 oder so) immer noch fehlschlugen. Dann fingen sie an zu arbeiten. Das war also eine ziemlich große Verzögerung.
Gerade habe ich diese Richtlinie entfernt und es dauerte 2-3 Minuten (genug, um dies zu googeln und ein paar andere Seiten zu lesen), bis mein Host den Zugriff verlor.
Im Allgemeinen sind die Dinge auch für mich ziemlich bissig, aber wenn Sie ziemlich sicher sind, dass etwas funktionieren sollte und nicht, tun Sie sich selbst einen Gefallen und warten Sie 10 Minuten. Leider klingt die Automatisierung nach IAM-Änderungen dadurch schwieriger als gedacht!
quelle