Ich habe zwei Richtlinien und möchte sie in einer einzigen Bucket-Richtlinie zusammenführen.Kombinieren Sie AWS S3-Bucket-Richtlinien so, dass sie sowohl Zulassen- als auch Verweigerungsregeln enthalten.
Ist es möglich, Verweigern und Zulassen von Richtlinien in einer einzigen Richtlinie zusammenzuführen? In diesem Beispiel erlaubt die Richtlinie andere IP-Bereiche als 54.240.143.0/24?
Die Politik sollte nur den Zugriff vom Endpunkt und IP-Bereich VPC erlaubt 54.240.143.0/24
{
"Version": "2012-10-17",
"Id": "S3PolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Action": "s3:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "arn:aws:s3:::examplebucket/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
}
}
]
}
{
"Version": "2012-10-17",
"Id": "Policy1415115909152",
"Statement": [
{
"Sid": "Access-to-specific-VPCE-only",
"Action": "s3:*",
"Effect": "Deny",
"Resource": ["arn:aws:s3:::examplebucket",
"arn:aws:s3:::examplebucket/*"],
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-1a2b3c4d"
}
},
"Principal": "*"
}
]
}
Könnten Sie bitte Ihre Regelanforderungen in Englisch angeben? Es wird gerade gesagt: "Nur über diesen VPC-Endpunkt auf diesen Bucket zugreifen" UND "Nur wenn es von dieser öffentlichen IP-Adresse kommt", was widersprüchlich erscheint. –
Es ist auch am besten, sich daran zu erinnern, dass der Zugriff standardmäßig verweigert wird. Daher können Sie normalerweise "allow if" anstelle von "deny iweh" schreiben, was in manchen Fällen die Sache einfacher macht, da * any * die passende Deny-Regel immer gilt Gewinnen Sie jede passende Erlaubnis. –
Die Richtlinie sollte nur Zugriff vom VPC-Endpunkt und IP-Bereich zulassen 54.240.143.0/24 – tset