Amazon web services 如何允许AWS Textract访问受保护的S3存储桶_Amazon Web Services_Amazon S3_Amazon Textract_Aws Textract

Amazon web services 如何允许AWS Textract访问受保护的S3存储桶

amazon-web-services amazon-s3

Amazon web services 如何允许AWS Textract访问受保护的S3存储桶,amazon-web-services,amazon-s3,amazon-textract,aws-textract,Amazon Web Services,Amazon S3,Amazon Textract,Aws Textract,我有只允许从VPC访问的bucket策略： { "Version": "2012-10-17", "Id": "aksdhjfaksdhf", "Statement": [ { "Sid": "Access-only-from-a-specific-VPC", "Effect": "D

我有只允许从VPC访问的bucket策略：

{
  "Version": "2012-10-17",
  "Id": "aksdhjfaksdhf",
  "Statement": [
    {
      "Sid": "Access-only-from-a-specific-VPC",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::zzzz",
        "arn:aws:s3:::zzzz/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "aws:SourceVpc": "vpc-xxxx"
        }
      }
    }
    ]
}

我也希望允许来自AWS Textract的流量进入这个桶。我尝试过各种方法，但由于“显式拒绝”（我需要）的绝对优先权，我无法使其工作

是否有不同的政策制定或完全不同的方法来限制专有网络和Textract服务的流量访问此S3存储桶？

这是不可能的

一般来说，最好避免

Deny

策略，因为它们会覆盖任何

Allow

策略。众所周知，它们很难正确配置

一种选择是删除

拒绝

，并非常小心授予谁

允许

访问存储桶

但是，如果这太难（例如默认情况下管理员可以访问所有存储桶），那么通常的做法是将敏感数据移动到不同AWS帐户中的S3存储桶中，并且只向特定用户授予跨帐户访问权