当用户对资源具有基于资源的权限但没有该服务的基于用户的权限时。他可以使用那项服务吗?
示例:用户Jack具有基于资源的权限,可以使用S3存储桶'jamm'。但杰克没有使用S3的许可。杰克可以使用S3桶吗?
答案 0 :(得分:1)
如果您无权访问S3服务,则根本无法使用它。
要访问任何S3存储桶,您必须具有执行s3:GetObject等S3命令的权限。这些权限告诉AWS允许用户执行哪些命令。任何未明确允许的内容都会被自动拒绝。
S3存储桶策略(您的资源级权限)指示S3服务允许哪些用户访问存储桶。但是只有在 之后才会为用户提供执行用于访问存储桶的S3命令所需的权限。
所以你需要:
可以将某些S3命令限制到您的存储桶,因此用户有权执行s3:GetObject(例如),但仅限于您的存储桶。
但是某些命令,例如s3:ListAllMyBuckets不能以这种方式受到限制。