[英]Deny AWS S3 bucket access for 2 users
我几乎没有编写 JavaScript 的知识,所以我需要一些帮助。
我在我的 AWS 账户和一些用户上创建了几个存储桶。 我知道用于拒绝特定用户访问存储桶的正确语法,但我需要拒绝对两个用户的访问。 我不知道这样做的正确语法:(
我有以下两个用户: BarnU
和BarnZ
我用于拒绝访问一个用户的代码如下:
{
"Version": "2012-10-17",
"Id": "Policy1575527937316",
"Statement": [
{
"Sid": "Stmt1575527932225",
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::755268545265:user/BarnU"
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::poloserver/*"
}
]
}
如何将用户BarnZ
添加到此脚本?
谢谢
您可以使用[ ]
符号简单地列出它们:
"AWS": [
"arn:aws:iam::755268545265:user/BarnU",
"arn:aws:iam::755268545265:user/BarnZ"
]
完整政策:
{
"Version": "2012-10-17",
"Id": "Policy1575527937316",
"Statement": [
{
"Sid": "Stmt1575527932225",
"Effect": "Deny",
"Principal": {
"AWS": [
"arn:aws:iam::755268545265:user/BarnU",
"arn:aws:iam::755268545265:user/BarnZ"
]
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::poloserver/*"
}
]
}
为特定用户应用策略时,建议针对实际 IAM 用户本身或 IAM 组放置策略。
此外,如果可能,最好避免使用Deny
策略,而是限制最初Allow
访问的策略。 默认情况下,没有人可以访问 Amazon S3 中的任何内容。 您必须有一些策略授予这两个用户访问 S3 的权限。 如果可能,只需限制这些Allow
策略中授予的访问权限,以便它们从一开始就不会被授予访问权限。
如果您遇到某人获得权限但您希望覆盖该权限的情况,请使用Deny
。 例如,某人可能被授予访问所有 Amazon S3 存储桶的权限,但您不希望他们访问包含敏感数据的两个存储桶。 在这种情况下,您可以使用Deny
策略覆盖Allow
。
为此,请将问题中显示的策略针对特定的 IAM 用户,但不包括Principal
部分,因为它将自动应用于已分配策略的 IAM 用户。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "s3:*",
"Resource": "arn:aws:s3:::my-bucket/*"
}
]
}
此外,请确保这些用户没有允许他们更改自己策略的 IAM 权限,否则他们可以更改/删除策略。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.