我正在以编程方式添加和删除AWS IAM用户策略,并且在应用这些策略时得到了不一致的结果。
例如,这可能会成功或失败(我使用Java 1.6.6 SDK):
如果我在#3和#4之间插入断点并等待几秒钟,用户就无法从存储桶中读取,这是我期望的。如果我删除断点,则用户可以从存储桶中读取,这是错误的。
(当我添加策略然后访问资源时,这也是不一致的)
我想知道策略更改何时对组件(S3、SQS等)产生影响,而不仅仅是对IAM系统的影响。是否有任何方法可以从中获得收据或确认?或者可能需要等待一定时间吗?
有关策略应用程序内部的文档资料吗?
(FYI,我从https://forums.aws.amazon.com/thread.jspa?threadID=140383&tstart=0复制了我的问题。)
要确认这些政策的应用需要AWS展示(至少间接地)审查拥有该政策副本的每个实体的能力,以查看它是否具有当前版本…在像S3这样的系统中,这可能是不切实际或难以控制的,因为它已经超出了惊人的2万亿对象,并且每秒提供超过1.1百万个请求的峰值负载。
官方AWS对此论坛帖子的回答提供了更多信息:
虽然您对IAM实体所做的更改会立即反映在IAM API中,但全局范围内反映这些信息可能需要一些时间。在大多数情况下,您所做的更改会在不到一分钟的时间内反映出来。网络条件有时可能会增加延迟,并且某些服务可能会缓存某些非凭证信息,这需要一些时间才能过期并被替换。
与此同时,伴随的答案是“再试一次”。
我们建议在稍微延迟一段时间后进行重试循环,因为在大多数情况下,您会很快看到您的更改反映出来。如果您休眠,您的代码在大多数情况下将等待时间过长,并且可能对于罕见的异常情况不够长。 我们积极监控复制系统的性能。但是像S3一样,我们只保证最终一致性,而不保证任何特定的上限。我这里的答复可能不够科学,但我觉得它会帮助其他人感到不那么疯狂 :). 我一直以为事情没有按预期的时间进展而认为它们没有起作用。
昨晚,我正在添加内联策略以允许主机从系统管理器获取参数。我认为它没有起作用,因为在更改后的很多分钟后(大约5分钟左右),我的CLI命令仍然失败了。然后,他们开始运行。所以,这是一个相当大的延迟。
刚才,我删除了该策略,我的主机失去了访问权限,前后大约需要2-3分钟。(足够我Google这个问题并阅读几篇其它文章)
总的来说,对我来说,事情通常都很快,但如果您相当确定某些事情应该起作用而却还没有发生,请耐心等待10分钟,给自己一个方便。不幸的是,这使得IAM更改之后的自动化听起来比我想象的要难!
