Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

拒绝除特定用户以外的所有用户对EFS的操作

0

【以下的问题经过翻译处理】 我尝试拒绝所有用户对EFS的操作,除了一个特定的用户外。

当我在我的EFS上附加文件系统策略,并使用NotPrincipal的拒绝条目时,我无法像预期的那样访问EFS。

示例文件系统策略:

我的期望是我的角色会话将访问列出的操作,但没有其他人将访问。但是,测试时,甚至我也被拒绝了访问。《如何限制特定IAM角色访问Amazon S3存储桶》建议在这种情况下应使用role ARN和assumed-role ARN,但是在测试时,它不起作用。

按照博客文章中使用的逻辑,我可以创建以下内容:

这似乎按照我的意图工作,但我想了解第一个示例不起作用的理由,因为它更易于使用和理解。

Themen
SpeicherSicherheit, Identität & Konformität
Tags
Amazon Elastic DateisystemAWS Identity and Access Management
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 6 Monaten13 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 你好!这是一个涉及DENY操作和NotPrincipal组合使用的微妙问题。作为AWS的最佳实践,当使用Deny和NotPrincipal元素时——如果NotPrincipal元素缺少角色所属的AWS账户的ARN,则策略可能明确地拒绝访问该AWS账户和该账户中的所有实体,包括你的角色会话和角色。此外,在某些情况下,假定角色用户不能拥有比其父角色更多的权限,并且角色不能拥有比其父AWS账户更多的权限。

在你提供的示例中,由于你使用了aws:userId,AWS账户ID代表AWS账户根用户,而"role_principal_id:my_email@my_domain.com"代表角色会话,这与上述略有不同。

这很可能是你在第一个策略中看到意外结果的原因,因为策略可能会拒绝访问该AWS账户和该账户中的所有实体。AWS文档并没有完全阐明这一点。

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 6 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt