#amazon-web-services #amazon-s3 #amazon-iam
#amazon-web-services #amazon-s3 #amazon-iam
Вопрос:
Может кто-нибудь объяснить мне, почему эта политика не работает? Что я хочу: полный контроль S3 для пользователя IAM, но ограниченный двумя сегментами, определяемыми их ARN. Я всегда получаю отказ в доступе при попытке загрузить с помощью AWS SDK со своего сервера. 
Спасибо
Комментарии:
1. Давайте начнем с простого. Могут ли они использовать учетные данные этого пользователя IAM для выполнения
aws s3 ls s3://bucketname? Кроме того, не могли бы вы предоставить политику корзины, не скрывая ARN? Вы можете изменить имя сегмента, но нам нужно видеть, когда вы добавляете такие вещи, как/*.
Ответ №1:
Здесь есть некоторые возможности, трудно сказать, не видя полной настройки.
- Существует политика корзины, которая явно запрещает действие
- Сегмент зашифрован, и пользователю не хватает разрешений KMS
- Существует конфликтующая политика, которая имеет приоритет, например, политика SCP. Попробуйте использовать https://policysim.aws.amazon.com/home/index.jsp , это не 100% точная информация, но она может дать подсказку
- Вы также можете использовать CloudTrail для отслеживания всех вызовов API, выполненных пользователем, и определения, какой вызов не удался
Кроме того, вы должны иметь возможность комбинировать эти политики путем объединения ресурсов: Resource: ["arn_1", "arn_2"]