bucket policy vs IAM roles policy

0

I have a bucket policy mentioning some roles with only get and put object permission. I also have another Role and a separate policy attached to it having multipart upload permission along with KMS decrypt and generate data key permission attached to lambda function. While lambda execution , getting assumed role/lambdaname does not have generatedatakey permission. But the permission is there for the role. Should i add this role along with all permissions in the bucket policy. Does it have preference? I do have S3 vpc endpoint and kms:generatedatakey and KMS:Decrypt is not present there. Should i mention it there.

주제

보안, 신원 및 규정 준수 스토리지

태그

IAM 정책 아마존 S3 액세스 그랜트

언어

English

질문됨 2달 전127회 조회

1개 답변

최신
최다 투표
가장 많은 댓글

1

Hi Khalid,

Rather than trying to reword it and be unprecise, I suggest you to go to https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html to see how resource-based policies and identity-based policies work together.

The doc has nice charts that make it more visual so easier to understand.

Enter image description here

Best.

Didier

전문가

답변함 2달 전

전문가

검토됨 2달 전

khalid
2달 전
Thanks Didier, will look further.
Didier_Durand 전문가
2달 전
Khalid, you're welcome.
Brettski-AWS 전문가
2달 전
Also worth looking at is this flowchart which presents the chart above in a different way: https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow

관련 콘텐츠

Spring boot(ec2) + S3: Bucket does not exist error. (AWS EC2에서 S3 bucket을 찾지 못합니다.)
donshin
질문됨 9달 전
How can I incorporate a custom query into start_expense_analysis?
ckhan
질문됨 2달 전
The aws cost came out unexpectedly, is there a way to save money?
rePost-User-0762112
질문됨 일 년 전
iOS 16.0.2 Flutter와 Amplify Studio 구축한 앱 실행 후 자동으로 종료되는 현상 | iOS 16.0.2 App built with Flutter and Amplify Studio automatically closes after running
PHJ
질문됨 21일 전
Amazon EKS에서 “Your current user or role does not have access to Kubernetes objects on this EKS cluster” 오류를 해결하려면 어떻게 해야 합니까?
AWS 공식업데이트됨 일 년 전
AWS CloudFormation을 사용하여 AWS KMS 키를 생성하려고 할 때 표시되는 'The new key policy will not allow you to update the key policy in the future(새 키 정책으로 인해 향후 키 정책을 업데이트할 수 없습니다)' 오류를 해결하려면 어떻게 해야 하나요?
AWS 공식업데이트됨 2년 전
Amazon S3 버킷 정책을 업데이트하려고 할 때 "Invalid principal in policy"라는 오류가 표시되는 이유는 무엇인가요?
AWS 공식업데이트됨 일 년 전
IAM 오류 "Maximum policy size of xxxxx bytes exceeded for the user or role."을 해결하려면 어떻게 해야 합니까?
AWS 공식업데이트됨 2년 전
IAM Roles Anywhere를 사용하여 AWS 외부에서 실행되는 애플리케이션에서 AWS 리소스 액세스 하는 방안
지원 엔지니어
Dongsoo_S
게시됨 9달 전
Multipart Upload를 활용한 객체 업로드/복사 시 S3 Server access log에서 확인하는 방안
지원 엔지니어
Geonhee_L
게시됨 9달 전