bucket policy vs IAM roles policy

I have a bucket policy mentioning some roles with only get and put object permission. I also have another Role and a separate policy attached to it having multipart upload permission along with KMS decrypt and generate data key permission attached to lambda function. While lambda execution , getting assumed role/lambdaname does not have generatedatakey permission. But the permission is there for the role. Should i add this role along with all permissions in the bucket policy. Does it have preference? I do have S3 vpc endpoint and kms:generatedatakey and KMS:Decrypt is not present there. Should i mention it there.

トピック

セキュリティ、アイデンティティ、コンプライアンスストレージ

タグ

IAM ポリシー Amazon S3 Access Grants

言語

English

khalid

質問済み 2ヶ月前126ビュー

1回答

新しい順
投票が多い順
コメントが多い順

Hi Khalid,

Rather than trying to reword it and be unprecise, I suggest you to go to https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html to see how resource-based policies and identity-based policies work together.

The doc has nice charts that make it more visual so easier to understand.

Enter image description here

Best.

Didier

エキスパート

Didier_Durand

回答済み 2ヶ月前

エキスパート

Riku_Kobayashi

レビュー済み 2ヶ月前

khalid
2ヶ月前
Thanks Didier, will look further.
Didier_Durand エキスパート
2ヶ月前
Khalid, you're welcome.
Brettski-AWS エキスパート
2ヶ月前
Also worth looking at is this flowchart which presents the chart above in a different way: https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow

関連するコンテンツ

Elastic Beanstalk 環境の作成に失敗する(Environment must have instance profile associated with it.)
承認された回答
rePost-User-3443462
質問済み 1年前
I AM内の各ページや他サービスへのアクセス権限を復活させられません
Takashi5223
質問済み 6年前
IAM Identity Center上でAdministratorAccessを付与しているユーザーでログインしている際に、AWS IoT Coreでモノのアクティビティに「Unable to connect to the Device Gateway」エラーが表示される場合の権限設定についての質問
kmgp
質問済み 2日前
How to add an IAM policy to restrict HTTP request methods and only allow POST to be used HTTP要求メソッドを制限し、POSTのみを使用できるようにIAMポリシーを追加する方法
承認された回答
Dgk
質問済み 3ヶ月前
Amazon S3 でバケットポリシーを変更しようとすると表示される「You don't have permissions to edit bucket policy」というエラーをトラブルシューティングするにはどうすればよいですか?
AWS公式更新しました 1年前
「Policy contains a statement with one or more invalid principals (1 つ以上の無効なプリンシパルを持つステートメントがポリシーに含まれています)」という AWS KMS キーポリシーエラーを解決する方法を教えてください。
AWS公式更新しました 2年前
Amazon S3 バケットポリシーを更新しようとすると、「Invalid principal in policy」というエラーが表示されるのはなぜですか?
AWS公式更新しました 1年前
IAM エラー「Maximum policy size of xxxxx bytes exceeded for the user or role (ユーザーまたはロールのポリシーの最大サイズが xxxxx バイトを超えました) 」を解決するにはどうすればよいですか。
AWS公式更新しました 2年前
アベイラビリティーゾーン (AZ) の移行&インスタンスのアップグレードガイド
エキスパート
Sumikawa_M
公開済み 3ヶ月前
AWS Application Migration Service (MGN) とエージェントレス vCenter クライアントを利用して VMware 仮想環境から AWS への移行を加速させる
エキスパート
Koichi Takeda
公開済み 9日前