S3访问策略与S3存储桶策略的如何交互作用？

Question

【以下的问题经过翻译处理】 我不清楚S3访问策略如何与S3存储桶策略相互作用。
例如，我可以拥有一个存储桶策略，禁止所有用户（忘记根账户）在整个存储桶上执行任何操作，然后创建一个具有允许某些用户获取文件策略的访问点吗？

换句话说，访问策略是否独立于存储桶策略，它们是按顺序评估的（因此是一个AND），还是OR？

根据下面的答案：

有趣的是，存储桶策略和访问点策略都是资源策略。 在提到的页面中，没有关于使用基于资源的策略评估基于资源的策略的内容。

文档：

“为了使访问点策略有效地授予Alice访问权限，基础存储桶必须也允许Alice相同的访问权限。您可以按照将访问控制委派到访问点中描述的内容将访问控制从存储桶委派到访问点。或者，您可以向基础存储桶添加以下策略，以授予Alice所需的权限。请注意，访问点和存储桶策略之间的资源条目不同。”

所以，似乎是AND：访问点和存储桶策略都必须显式地允许访问。但是，这是否违反了避免S3存储桶上的20Kb策略限制的目的？

Answer

【以下的回答经过翻译处理】 希望这可以解答问题并解释我们创建AP的原始背景。

简而言之，AP策略和桶策略是共同配合的。通常，客户创建一个AP和相应的AP策略，以限制在一个共享的大型S3桶中单个桶策略的大小和复杂性。AP策略具有更小的“影响半径”来进行更改/编辑和授权列表。您可以通过将其限制为以下内容以更加精准/容易地“缩小授权范围”来使用AP策略：

- 特定前缀
- 特定的源VPC
- 特定的对象标记

然后，您甚至可以使用桶策略来完全进一步限制对桶的访问，仅通过访问点完全允许访问桶。这是首选方法，因为想要访问点的客户不想通过AP策略和桶策略来管理共享桶的访问。不过，如果您选择同时设置不同的用户/组/主体的两种访问方法，则它们确实可以共同使用，而最严格的IAM准则仍然优先。以上回复都是正确的。Denys规则优先应用，即最严格的先起作用。

通常，您只需将桶策略设置为指向AP策略，以管理对共享桶的访问。比同时管理桶策略和AP策略更加简单。

为了进一步，您甚至可以使用SCP来限制AWS组织中所有存储桶都通过AP进行访问。

希望这有所帮助。

S3访问策略与S3存储桶策略的如何交互作用？

相关内容