1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 希望这可以解答问题并解释我们创建AP的原始背景。
简而言之,AP策略和桶策略是共同配合的。通常,客户创建一个AP和相应的AP策略,以限制在一个共享的大型S3桶中单个桶策略的大小和复杂性。AP策略具有更小的“影响半径”来进行更改/编辑和授权列表。您可以通过将其限制为以下内容以更加精准/容易地“缩小授权范围”来使用AP策略:
- 特定前缀
- 特定的源VPC
- 特定的对象标记
然后,您甚至可以使用桶策略来完全进一步限制对桶的访问,仅通过访问点完全允许访问桶。这是首选方法,因为想要访问点的客户不想通过AP策略和桶策略来管理共享桶的访问。不过,如果您选择同时设置不同的用户/组/主体的两种访问方法,则它们确实可以共同使用,而最严格的IAM准则仍然优先。以上回复都是正确的。Denys规则优先应用,即最严格的先起作用。
通常,您只需将桶策略设置为指向AP策略,以管理对共享桶的访问。比同时管理桶策略和AP策略更加简单。
为了进一步,您甚至可以使用SCP来限制AWS组织中所有存储桶都通过AP进行访问。
希望这有所帮助。
相关内容
- AWS 官方已更新 2 年前
- AWS 官方已更新 10 个月前
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前