堆棧內存溢出
  簡體   English   中英

IAM政策和S3政策

[英]IAM Policy and S3 Policy

 原文  2018-02-09 23:34:42       amazon-web-services/ amazon-s3/ amazon-iam

問題描述

如果我具有可訪問存儲桶的IAM角色,那么該存儲桶還需要存儲桶策略來指定該角色具有訪問權限嗎? 我可以只吃一個嗎?

例:

我有一個IAM角色,說 

    {
        "Action": [
            "s3:Get*",
            "s3:Put*",
            "s3:DeleteObject",
            "s3:List*"
        ],
        "Resource": [
            "arn:aws:s3:::bucketname/*"
        ],
        "Effect": "Allow"
    }

該存儲桶具有附加的策略,但是上面的語句不包含有關角色的任何內容。 存儲桶策略中沒有拒絕語句。 該角色應該能夠訪問文件嗎?

2 個解決方案

解決方案1
 1  2018-02-10 00:04:41

通常情況下,你不需要提供S3斗政策。

每當您向S3發出請求時,授權決定都取決於所有適用的IAM策略,S3存儲桶策略和S3 ACL的並集。

策略評估的順序為:

  1. 是否有明確的拒絕? 結果是拒絕。
  2. 是否有明確的允許? 結果是允許的。
  3. (默認設置)結果為拒絕。

解決方案2
 1  2018-02-17 18:13:14

這是AWS的一篇有趣的文章,比較了IAM策略,存儲桶策略和ACL

如果您對“此用戶可以在AWS中做什么?”更感興趣,那么IAM策略可能是可行的方法。 您可以通過查找IAM用戶,然后檢查其IAM策略以查看其擁有的權限來輕松回答此問題。

如果您對“誰可以訪問此S3存儲桶?”更感興趣,則S3存儲桶策略可能會更適合您。 您可以通過查找存儲桶並檢查存儲桶策略輕松地回答此問題。

https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 S3存儲桶上的IAM策略 AWS IAM S3 策略 針對s3存儲桶的Iam策略 對S3存儲桶的IAM策略的權限被拒絕 S3 IAM策略以訪問其他帳戶 IAM策略中的S3存儲桶加密限制 AWS S3 IAM策略多個存儲桶 S3存儲桶策略和IAM角色沖突 ROR 的 S3 IAM 策略問題 S3 存儲桶策略可以覆蓋 IAM 策略嗎?
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM