所以我的2个策略几乎做了完全相同的事情,但是一个工作,一个不在IAM策略模拟器中,即使我将ARN和IpAddress设置为相同查询;
工作政策;
IpAddress然后我将加密时允许拒绝并将NotIpAddress切换为{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt",
"Effect": "Deny",
"Action": [
"kms:Decrypt"
],
"Resource": [
"*"
]
},
{
"Sid": "Stmt",
"Effect": "Deny",
"Action": "kms:Encrypt",
"Resource": [
"arn:aws:kms:us-east-1:11111111:key/bla-bla"
],
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"12.12.12.12",
]
}
}
}
]
}
;
Implicitly denied (no matching statements)后者不起作用,我为什么,任何见解感到困惑?!
回复的错误消息是CREATE TABLE DAY_TABLE
(
-- other fields
EVENT_DAY ENUM('SUNDAY', 'MONDAY', 'TUESDAY', 'WEDNESDAY', 'THURSDAY', 'FRIDAY', 'SATURDAY')
);
,我正在解释这个消息,因为它没有指定允许,因此您无法访问此消息。但我实际上对我使用的另一个密钥有相同的实现,它工作正常。