私はS3バケットポリシーに取り組んでいます。アイデアは明示的に付与されたものを除いて、アカウント内のすべてのIAMユーザーへのアクセスを明示的に拒否することです。S3バケットポリシーでOR条件を実行するにはどうすればよいですか?
特定のユーザーへのアクセスを制限する方法を説明するブログ記事があります。それはうまくいく。ただし、アクセスを許可する2番目のIAMユーザーを含めるように構文を拡張したいと考えています。これは実際にはOR条件です。
しかし、私はJSONの新機能を既に知りましたが、その方法についてはわかりません。ここで
は、単一のユーザーへのアクセスを制限するために働く政策である:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::my-bucket",
"arn:aws:s3:::my-bucket/*"
],
"Condition": {
"StringNotLike": {
"aws:userId": [
"AIDA<obfuscated id>:*",
"AIDA<obfuscated id>",
"111111111111"
]
}
}
}
]
}
誰も私が私が許される追加のユーザーIDを指定することができ、OR条件を可能にするために、上記のJSONを編集助けることができますアクセス?
AdvThanksance!
こんにちはKhalid、あなたの返事をありがとう。デフォルトでは、アカウント内のすべてのユーザー(S3アクセス権を持つ)はすべてのバケットにアクセスできます。特定のIAMユーザーだけがアクセスできるバケットがあります。したがって、ユーザー名が(StringNotLike)特定のユーザーでない場合、ポリシーは拒否します。それは動作します。質問は、許可されたリストにユーザーを追加する方法ですか?私がこのアイデアを得たブログ記事は、ここにあります:https://aws.amazon.com/blogs/security/how-to-restrict-amazon-s3-bucket-access-to-a-specific-iam-role/ –