我有一个公共S3存储桶,其中有2个文件夹,public-folder并且private-folder
我希望每个人都可以访问,public-folder并且只希望user1以private-folder编程方式进行访问。
在S3存储桶中,我添加了以下策略:
{
"Version": "2012-10-17",
"Id": "Policy1568654876568",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::my-bucket/*"
},
{
"Effect": "Deny",
"NotPrincipal": {
"AWS": [
"arn-of-user1"
]
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::my-bucket/private-folder/*"
}
]
}
从IAM,我创建了一个user1能够访问存储桶的策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::my-bucket"
},
{
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::my-bucket/*"
}
]
}
有没有更好的方法可以实现这一目标?是否可以拒绝所有人访问private-folder使用S3策略,然后覆盖我为之定义的使用IAM策略user1?
如果您有public-folder和,以下操作难道不会变得更容易,更自然吗private-folder?以下内容基于以下事实:存储桶及其对象默认为私有。
它允许公众访问public-folder:
{
"Version": "2012-10-17",
"Id": "Policy1568654876568",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::my-bucket/public-folder/*"
}
]
}
它允许在中放置,获取和删除对象private-folder,以及列出存储桶。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::my-bucket"
},
{
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::my-bucket/private-folder/*"
}
]
}
是否可以拒绝所有人使用S3策略访问私有文件夹,然后使用我为user1定义的IAM策略覆盖私有文件夹?
明确拒绝将覆盖所有允许。因此,如果您拒绝所有人访问,则无法使用任何IAM策略来允许访问。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句