1. ホーム
  2. 質問と答え
  3. AWS S3 NotResource /拒否およびリソース/条件

AWS S3 NotResource /拒否およびリソース/条件

2017-10-16 10 views
0

私はS3のために糸状の条件でAWS S3 NotResource /拒否およびリソース/条件

"Action": [ 
    "s3:*" 
    ], 
    "NotResource": [ 
    "arn:aws:s3:::bucket/file.txt", 
    ], 
    "Effect": "Deny" 
},

を次のように拒否/ NotResourceを使用しようとしています:ListObjectVersions

{ 
     "Action": [ 
     "s3:List*" 
     ], 
     "Resource": [ 
     "arn:aws:s3:::bucket" 
     ], 
     "Condition": { 
     "StringLike": { 
      "s3:prefix": [ 
      "anotherfile.txt" 
      ] 
     } 
     }, 
     "Effect": "Allow" 
    }

NotResourceを次のように/ Denyは、条件付きリソースをブロックします。この仕事をする方法はありますか?

出典

2017-10-16 user6781377

+0

arn:aws:s3:::bucket/file.txtされていない他のすべてを許可するポリシーの下に使うことができあなたはそれが働くようにしたいものとして明確になります.. –

+0

私はS3をロックしたいのでs3アクションは拒否され、表示されている条件に対してList *(ListObjectVersions)のみが許可されます。 – user6781377

+0

S3はデフォルトでロックされています。許可されているアクションがある場合は、それがどのように起こったかを調べることができます。また、IAMのポリシー解釈は決してあいまいではないことに注意してください。一致する '拒否 'が一致する' Allow'よりも優先します。 –

答えて

0

として以下のポリシーにアクセスして、優先度:あなたの設定で

Explicit Deny > Explicit Allow > Default Deny All

地図:

Deny "NotResource" > Allow "StringLike" > Default Deny All

をあなたは

{ 
     "Action": [ 
     "s3:List*" 
     ], 
     "Resource": [ 
     "arn:aws:s3:::bucket/*" 
     ], 
     "Condition": { 
     "StringNotEquals": { 
      "s3:prefix": "file.txt" 
     } 
     }, 
     "Effect": "Allow" 
    }

出典

2017-10-17 02:48:13

関連する問題

 関連する問題