Warning: file_get_contents(/data/phpspider/zhask/data//catemap/1/amazon-web-services/14.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Amazon web services IAM访问密钥权限是否覆盖IAM角色中的显式拒绝?_Amazon Web Services_Amazon Iam - Fatal编程技术网
Fatal编程技术网
  • amazon-web-services/
  • Amazon web services IAM访问密钥权限是否覆盖IAM角色中的显式拒绝?

Amazon web services IAM访问密钥权限是否覆盖IAM角色中的显式拒绝?

amazon-web-services

Amazon web services IAM访问密钥权限是否覆盖IAM角色中的显式拒绝?,amazon-web-services,amazon-iam,Amazon Web Services,Amazon Iam,我有一个EC2实例,其角色应用了以下策略: { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Deny", "Action":

我有一个EC2实例,其角色应用了以下策略:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "*"
        }
    ]
}
只要应用了角色,它就可以正常工作——我可以查看bucket内容,但不能将对象复制到bucket中

但是,如果我随后使用
AmazonS3FullAccess
策略为IAM用户添加访问密钥,则实例能够将对象复制到bucket中

这是怎么允许的?我的理解是,任何相关策略中的任何显式拒绝都是最终的。

之所以发生这种情况,是因为硬编码的凭据具有实例配置文件。随后,在您的场景中甚至不考虑您的拒绝

最好将这种拒绝放在bucket策略中,而不是实例角色。

谢谢!我知道它必须被记录在某个地方。