Amazon web services 如何允许AWS Textract访问受保护的S3存储桶
我有只允许从VPC访问的bucket策略:Amazon web services 如何允许AWS Textract访问受保护的S3存储桶,amazon-web-services,amazon-s3,amazon-textract,aws-textract,Amazon Web Services,Amazon S3,Amazon Textract,Aws Textract,我有只允许从VPC访问的bucket策略: { "Version": "2012-10-17", "Id": "aksdhjfaksdhf", "Statement": [ { "Sid": "Access-only-from-a-specific-VPC", "Effect": "D
{
"Version": "2012-10-17",
"Id": "aksdhjfaksdhf",
"Statement": [
{
"Sid": "Access-only-from-a-specific-VPC",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::zzzz",
"arn:aws:s3:::zzzz/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-xxxx"
}
}
}
]
}
我也希望允许来自AWS Textract的流量进入这个桶。我尝试过各种方法,但由于“显式拒绝”(我需要)的绝对优先权,我无法使其工作
是否有不同的政策制定或完全不同的方法来限制专有网络和Textract服务的流量访问此S3存储桶?这是不可能的 一般来说,最好避免
Deny
策略,因为它们会覆盖任何Allow
策略。众所周知,它们很难正确配置
一种选择是删除拒绝
,并非常小心授予谁允许
访问存储桶
但是,如果这太难(例如默认情况下管理员可以访问所有存储桶),那么通常的做法是将敏感数据移动到不同AWS帐户中的S3存储桶中,并且只向特定用户授予跨帐户访问权