我有一个存储桶,我们已经删除了DeleteObject权限,以便Authenticated用户不会删除数据。
政策如下:
{
"Version": "2008-10-17",
"Id": "test-s3-privileges",
"Statement": [
{
"Sid": "Stmt1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::xxxxxxxxxx:root"
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::test/*"
},
{
"Sid": "Stmt2",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:DeleteObject",
"Resource": "arn:aws:s3:::test/*"
}
]
}
现在,我正在测试HUNK(http://www.splunk.com/view/hunk/SP-CAAAH2E)。该产品想要在“test”存储桶下创建一个名为splunk的子目录,并希望访问它在test / splunk /目录下删除它创建的对象。
所以,我在政策中添加了以下声明:
{
"Sid": "Stmt3",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::xxxxxxxxxx:user/abc"
},
"Action": "s3:DeleteObject",
"Resource": "arn:aws:s3:::test/splunk/*"
}
但我仍然无法删除test / splunk目录下的数据。有人能帮我弄清楚我做错了什么吗?或者有更好的方法来处理这个问题吗?
注意: - 我只想从test / splunk / *中删除数据,而不是从test / *
下的任何其他目录中删除数据答案 0 :(得分:0)
显式拒绝覆盖任何显式允许,因为默认操作是拒绝。 http://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html
最好明确允许你需要的东西,而不是允许" *"并否认具体行动。使用显式的Allow动作,您很少需要使用显式的Deny语句。