Amazon web services IAM访问密钥权限是否覆盖IAM角色中的显式拒绝?
我有一个EC2实例,其角色应用了以下策略:Amazon web services IAM访问密钥权限是否覆盖IAM角色中的显式拒绝?,amazon-web-services,amazon-iam,Amazon Web Services,Amazon Iam,我有一个EC2实例,其角色应用了以下策略: { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Deny", "Action":
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"s3:PutObject"
],
"Resource": "*"
}
]
}
只要应用了角色,它就可以正常工作——我可以查看bucket内容,但不能将对象复制到bucket中
但是,如果我随后使用AmazonS3FullAccess
策略为IAM用户添加访问密钥,则实例能够将对象复制到bucket中
这是怎么允许的?我的理解是,任何相关策略中的任何显式拒绝都是最终的。之所以发生这种情况,是因为硬编码的凭据具有实例配置文件。随后,在您的场景中甚至不考虑您的拒绝
最好将这种拒绝放在bucket策略中,而不是实例角色。谢谢!我知道它必须被记录在某个地方。