我正在尝试保护s3架构中的文件夹,并且只允许使用AWS访问密钥访问Web应用程序
company
production
development
private
如果我直接在私人文件夹上放置DENY访问权限,则该DENY语句会覆盖为该网络应用程序设置的所有其他存储桶策略或IAM策略。即使Web应用程序通过IAM策略具有完全管理员访问权限,如果存储桶策略中该文件夹上存在DENY语句,也无法访问该专用文件夹。
我尝试了以下存储桶策略,但仍允许匿名用户查看受保护文件夹中的文件。
我认为存储桶中的所有文件夹都是私有的,除非在存储桶策略中有所说明?
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PublicReadGetObject",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::company/production/*"
},
{
"Sid": "allow access to private files in the private folder",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::88888888888:user/web_app"
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::company/*"
}
]
}