Ich habe ein AWS-Konto mit ID 11111 und ich möchte den Zugriff auf bestimmte Teile eines S3-Buckets zu dem Konto, zu dem der Bucket gehört, verweigern, auch wenn die Rolle darauf zugreifen Objekt hat vollen Zugriff s3.Wie s3 Bucket-Zugriff für ein AWS-Konto zu verweigern
Es ist mein Verständnis, dass eine Regel auf einer s3 Eimer Politik DENY Einstellung sollte das tun, so habe ich versucht, die s3 Politik unter
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::111111:root" }, "Action": [ "s3:PutObject", "s3:GetObjectVersion", "s3:GetObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::mybucket/production/*" ] } ] }
jedoch einer EC2-Maschine in demselben Konto wie der s3 Eimer mit einer iam Rolle, um vollen Zugriff auf den Eimer zu ermöglichen (s3: *) ist immer noch in der Lage zu schreiben/zu lesen mybucket/production/*
Fehle ich etwas? Sollte nicht die DENY-Bucket-Regel Vorrang haben? Wie geht man mit dieser Situation um? Ich möchte vermeiden, dass ich den vollen Zugriff von der ec2-Rolle entfernen muss, aber dazu in der Lage sein, das zu verweigern.
Vielen Dank, aber ich möchte im Wesentlichen den Zugriff für alle Benutzer unter diesem bestimmten Konto eher den Dienst verweigern. Dies liegt daran, dass ich mich dann für ein anderes Konto öffne, um in der Lage zu sein, auch unter den gesperrten Bereichen von ec2-Instanzen zu lesen/schreiben. Ich möchte auch unabhängig von der Rolle beschränken, die verwendet wird, um auf diesen Bucket zuzugreifen – ByteFlinger
Ich bin nicht sicher, ob Sie eine Frage stellen oder nur Ihre Ziele angeben. –