拒绝 2 个用户访问 AWS S3 存储桶

Question

我几乎没有编写 JavaScript 的知识，所以我需要一些帮助。

我在我的 AWS 账户和一些用户上创建了几个存储桶。 我知道用于拒绝特定用户访问存储桶的正确语法，但我需要拒绝对两个用户的访问。 我不知道这样做的正确语法:(

我有以下两个用户： BarnU和BarnZ

我用于拒绝访问一个用户的代码如下：

{
    "Version": "2012-10-17",
    "Id": "Policy1575527937316",
    "Statement": [
        {
            "Sid": "Stmt1575527932225",
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam::755268545265:user/BarnU"
            },
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::poloserver/*"
        }
    ]
}

如何将用户BarnZ添加到此脚本？

谢谢

Answer 1

您可以使用[ ]符号简单地列出它们：

"AWS": [
    "arn:aws:iam::755268545265:user/BarnU", 
    "arn:aws:iam::755268545265:user/BarnZ"
]

完整政策：

{
    "Version": "2012-10-17",
    "Id": "Policy1575527937316",
    "Statement": [
        {
            "Sid": "Stmt1575527932225",
            "Effect": "Deny",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::755268545265:user/BarnU", 
                    "arn:aws:iam::755268545265:user/BarnZ"
                ]
            },
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::poloserver/*"
        }
    ]
}

Answer 2

为特定用户应用策略时，建议针对实际 IAM 用户本身或 IAM 组放置策略。

• 影响每个人的规则应该包含在存储桶策略中（例如，将整个存储桶公开）
• 影响特定用户的规则应该放在IAM 用户中
• 影响一组用户（例如管理员）的规则应该放在IAM Group 中，然后分配给 IAM 用户

此外，如果可能，最好避免使用Deny策略，而是限制最初Allow访问的策略。 默认情况下，没有人可以访问 Amazon S3 中的任何内容。 您必须有一些策略授予这两个用户访问 S3 的权限。 如果可能，只需限制这些Allow策略中授予的访问权限，以便它们从一开始就不会被授予访问权限。

如果您遇到某人获得权限但您希望覆盖该权限的情况，请使用Deny 。 例如，某人可能被授予访问所有 Amazon S3 存储桶的权限，但您不希望他们访问包含敏感数据的两个存储桶。 在这种情况下，您可以使用Deny策略覆盖Allow 。

为此，请将问题中显示的策略针对特定的 IAM 用户，但不包括Principal部分，因为它将自动应用于已分配策略的 IAM 用户。

• 针对所需用户创建内联策略
• 拒绝他们访问存储桶：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::my-bucket/*"
        }
    ]
}

此外，请确保这些用户没有允许他们更改自己策略的 IAM 权限，否则他们可以更改/删除策略。