我的IAM帐户中有一个名为“testuser”的用户,他具有管理员权限,如下所示:
{
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
然后我的S3存储桶上的策略拒绝此用户访问,如下所示:
{
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "my-account-id:user/testuser"
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::my-bucket-name/*"
}
]
}
那么,S3存储桶策略中的显式拒绝是否应该覆盖IAM策略允许的权限?但是当我以testuser身份登录时,我仍然可以访问该存储桶中的所有内容 - 我甚至可以访问更改或删除该存储桶的存储桶策略(以及其他所有存储桶)。为什么我不明确拒绝做任何事情?
答案 0 :(得分:10)
尝试在存储分区策略中使用完整的ARN表单作为用户ID:
"Principal": {
"AWS":["arn:aws:iam::accountid:user/testuser"]
}