我正在研究S3存儲桶策略。這個想法是明確拒絕訪問帳戶中的所有IAM用戶,除了那些明確授予的用戶。如何在S3存儲桶策略中執行OR條件?
我找到一篇博客文章,解釋如何限制對特定用戶的訪問。它運作良好。但是,我想擴展語法以包含允許訪問的第二個IAM用戶。這實際上是一個OR條件。
但是,我對JSON很陌生,我不確定如何去做。
這裏是限制單個用戶訪問工作的政策:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::my-bucket",
"arn:aws:s3:::my-bucket/*"
],
"Condition": {
"StringNotLike": {
"aws:userId": [
"AIDA<obfuscated id>:*",
"AIDA<obfuscated id>",
"111111111111"
]
}
}
}
]
}
誰能幫助我編輯上述JSON允許在那裏我可以指定將被允許額外的用戶ID OR條件訪問?
AdvThanksance!
嗨哈立德,謝謝你的回覆。默認情況下,帳戶中的所有用戶(具有S3訪問權限)都可以訪問所有存儲桶。我有一個只能由特定IAM用戶訪問的存儲區。所以,該政策說拒絕用戶名是不是(StringNotLike)一個特定的用戶。這樣可行。問題是,如何將用戶添加到允許的列表中?我從這裏獲得這個想法的博客帖子在這裏:https://aws.amazon.com/blogs/security/how-to-restrict-amazon-s3-bucket-access-to-a-specific-iam-role/ –