Может кто-нибудь объяснить мне, почему эта политика не работает? Чего я хочу: полный контроль S3 для пользователя IAM, но ограниченный двумя сегментами, определенными их ARN. Я всегда получаю отказ в доступе при попытке загрузки с помощью AWS SDK с моего сервера. Спасибо
IAM-политика S3 для одной корзины, не предоставляющая доступ
Ответы (1)
Здесь есть некоторые возможности, трудно сказать, не видя полной установки.
- Существует политика корзины, которая явно запрещает действие
- Bucket зашифрован, а у пользователя нет разрешений KMS
- Существует конфликтующая политика, которая имеет приоритет, например, политика SCP. Попробуйте использовать https://policysim.aws.amazon.com/home/index.jsp, это не на 100% точно, но может дать подсказку
- Вы также можете использовать CloudTrail, чтобы отслеживать все вызовы API, сделанные пользователем, и определять, какой вызов не удался.
Кроме того, вы должны иметь возможность комбинировать эти политики, объединяя ресурсы: Resource: ["arn_1", "arn_2"]
person
Oleksii Donoha
schedule
17.12.2020
aws s3 ls s3://bucketname
? Кроме того, не могли бы вы предоставить политику корзины, не скрывая ARN? Вы можете изменить имя корзины, но нам нужно видеть, когда вы добавляете такие вещи, как/*
. - person John Rotenstein   schedule 18.12.2020