Блог

Я хотел бы отфильтровать доступ к S3 извне с определенного VPC и планирую применить политику, подобную этой статье.

В этом случае, используя aws:sourceVpce in Condition , мы можем отфильтровать доступ, кроме как с определенной конечной точки VPC.

Но в моей корзине S3 есть другая политика, разрешающая доступ из другого сервиса AWS для хранения журнала. И я беспокоюсь, будет ли этот доступ тоже отфильтрован или нет.
Я прочитал документ об aws: sourceVpce, и в нем говорится This key is included in the request context only if the requester uses a VPC endpoint to make the request. .

Означает ли это, что aws:sourceVpce не фильтруется запрос, который не использует конечную точку VPC, или фильтруется любой запрос, кроме использования определенной конечной точки VPC?

Если какое-либо разрешение специально указано Deny , если запрос соответствует, что Deny, вывод всегда будет Deny.

Если вы хотите заблокировать весь доступ, если не выполнено одно из нескольких условий, вам нужно будет включить все эти условия в инструкцию deny.

Затем включите дополнительные инструкции allow для конкретных политик на основе условий. У вас должно быть ваше глобальное запрещение, затем разрешение для VPCE и инструкция allow для сервисов.