我有两个策略,并希望合并到一个存储桶策略中。
是否可以将拒绝和允许策略合并为一个策略? 在此示例中,策略是否允许除54.240.143.0/24以外的IP范围?
该策略应仅允许从VPC端点和IP范围54.240.143.0/24
进行访问{
"Version": "2012-10-17",
"Id": "S3PolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Action": "s3:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "arn:aws:s3:::examplebucket/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
}
}
]
}
{
"Version": "2012-10-17",
"Id": "Policy1415115909152",
"Statement": [
{
"Sid": "Access-to-specific-VPCE-only",
"Action": "s3:*",
"Effect": "Deny",
"Resource": ["arn:aws:s3:::examplebucket",
"arn:aws:s3:::examplebucket/*"],
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-1a2b3c4d"
}
},
"Principal": "*"
}
]
}
答案 0 :(得分:0)
为什么不反转第二个政策并将条件添加到第一个政策?除了一个vpc之外,您目前正在拒绝从任何地方访问。因此,请添加允许在第一个策略中访问此vpc的条件。