EFS 文件系统策略与 IAM 实例配置文件冲突

0

【以下的问题经过翻译处理】 有一个 EFS 卷,其文件系统策略如下

{
    "Version": "2012-10-17",
    "Id": "read-only-example-policy02",
    "Statement": [
        {
            "Sid": "efsReadOnlyFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<account_id>:role/InstanceProfile"
            },
            "Action": "elasticfilesystem:ClientMount",
            "Resource": "arn:aws:elasticfilesystem:us-east-2:<account_id>:file-system/fs-id"
        }
    ]
}

角色“InstaceProfile”是附加到 EC2 实例的角色。现在,此实例配置文件具有带有“elasticfilesystem:*”的 IAM 策略,该策略授予它对 EFS 的所有访问权限。

现在,即使文件系统策略将其设为只读,我仍然能够挂载 EFS 并将文件写入其中。文件系统策略不应该优先于实例配置文件权限吗?

profile picture
专家
已提问 4 个月前25 查看次数
1 回答
0

【以下的回答经过翻译处理】 好问题!

在这种情况下,您的文件系统策略是资源策略,实例策略将被视为 IAM 身份策略。对于同一账户中的资源,这些资源被视为逻辑 。记住策略评估逻辑也很重要。

首先,评估显式拒绝,然后评估显式允许,然后评估隐式拒绝。

显式拒绝 --> 显式允许 --> 隐式拒绝

在这种情况下,您的 EFS 策略是允许读取,因此如果实例策略明确允许写入,则不会被拒绝。如果您希望进一步保护 EFS 卷,则需要对策略本身使用显式拒绝(您可以将此与允许结合使用)。

profile picture
专家
已回答 4 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则