IAM-политика S3 для одной корзины, не предоставляющая доступ

Может кто-нибудь объяснить мне, почему эта политика не работает? Чего я хочу: полный контроль S3 для пользователя IAM, но ограниченный двумя сегментами, определенными их ARN. Я всегда получаю отказ в доступе при попытке загрузки с помощью AWS SDK с моего сервера. введите здесь описание изображения Спасибо


amazon-web-services amazon-s3 amazon-iam
person maestroosram    schedule 17.12.2020    source источник
comment
Начнем с простого. Используя учетные данные этого пользователя IAM, могут ли они использовать интерфейс командной строки AWS для выполнения aws s3 ls s3://bucketname? Кроме того, не могли бы вы предоставить политику корзины, не скрывая ARN? Вы можете изменить имя корзины, но нам нужно видеть, когда вы добавляете такие вещи, как /*.   -  person John Rotenstein    schedule 18.12.2020

Ответы (1)


arrow_upward
2
arrow_downward

Здесь есть некоторые возможности, трудно сказать, не видя полной установки.

  1. Существует политика корзины, которая явно запрещает действие
  2. Bucket зашифрован, а у пользователя нет разрешений KMS
  3. Существует конфликтующая политика, которая имеет приоритет, например, политика SCP. Попробуйте использовать https://policysim.aws.amazon.com/home/index.jsp, это не на 100% точно, но может дать подсказку
  4. Вы также можете использовать CloudTrail, чтобы отслеживать все вызовы API, сделанные пользователем, и определять, какой вызов не удался.

Кроме того, вы должны иметь возможность комбинировать эти политики, объединяя ресурсы: Resource: ["arn_1", "arn_2"]

person Oleksii Donoha    schedule 17.12.2020