Amazon web services AWS IAM GroupPolicy-为什么s3:PutObject权限不起作用?
我有一个小组,我已将以下政策应用于该小组。我向组中添加了一个用户,并为该用户创建了访问密钥。我能从“我的桶”中得到,但我不能把它放到“我的桶”中。当我尝试放置时,我得到“拒绝访问”。谁能告诉我我做错了什么。请让我知道Amazon web services AWS IAM GroupPolicy-为什么s3:PutObject权限不起作用?,amazon-web-services,amazon-iam,Amazon Web Services,Amazon Iam,我有一个小组,我已将以下政策应用于该小组。我向组中添加了一个用户,并为该用户创建了访问密钥。我能从“我的桶”中得到,但我不能把它放到“我的桶”中。当我尝试放置时,我得到“拒绝访问”。谁能告诉我我做错了什么。请让我知道 { "Statement":[{ "Effect":"Allow", "Action":["s3:PutObject","s3:GetObject"], "Resource":["arn:aws:s3:
{
"Statement":[{
"Effect":"Allow",
"Action":["s3:PutObject","s3:GetObject"],
"Resource":["arn:aws:s3:::mybucket","arn:aws:s3:::mybucket/*"]
},
{
"Effect":"Deny",
"Action":["*"],
"NotResource":["arn:aws:s3:::mybucket","arn:aws:s3:::mybucket/*"]
}
]
}
编辑:有人让我陈述政策的目标。我只想“允许”对指定存储桶的组进行放置和获取权限。我想明确地“拒绝”该组对所有未指定(NotResource)的资源的所有其他权限。我在AWS发布的一篇文章中添加了明确的“Deny”,这篇文章表明这样做是一种良好的做法。Deny语句始终优先于Allow语句,这意味着上述策略应该阻止用户的所有访问。您是如何处理Get和Put请求的?GET是否可能是匿名执行的(没有身份验证)
了解您对上述政策的目标会有帮助吗?Deny语句的用途是什么?Deny语句始终优先于Allow语句,这意味着上述策略应阻止用户的所有访问。您是如何处理Get和Put请求的?GET是否可能是匿名执行的(没有身份验证) 了解您对上述政策的目标会有帮助吗?拒绝声明的目的是什么?来自: 每个策略必须只覆盖单个bucket和该bucket中的资源(在编写策略时,不要包含引用其他bucket或其他bucket中的资源的语句) 发件人: 每个策略必须只覆盖单个bucket和该bucket中的资源(在编写策略时,不要包含引用其他bucket或其他bucket中的资源的语句)
bucket是否由相关用户的父帐户所有?涉及多个帐户的S3权限变得更加复杂。策略看起来是正确的,它应该为Get和Put应用等效的权限,这使我认为Get是出于不同的原因工作的(例如,bucket是否匿名可读?)bucket是否属于相关用户的父帐户?涉及多个帐户的S3权限变得更加复杂。策略看起来是正确的,它应该为Get和Put应用等效的权限,这让我认为Get是出于不同的原因工作的(例如,bucket是否匿名可读?)看起来他们没有遵循自己的建议,请参阅-第二个示例违反了5条准则中的3条。看起来他们没有遵循自己的建议,请参阅-第二个示例违反了5条准则中的3条。