我发现当我使用NotResource作为IAM策略中的掩码并将其附加到存储桶时,受策略影响的资源就是那个 in the bucket 未在NotResource子句中指定。我需要指出文档,清楚地表明情况就是这样。我一直在查看内联策略和s3访问管理和策略的文档,但我很难找到这些特定信息。是否在文档中说明了在内联策略中指定资源的限制?
答案 0 :(得分:0)
除非我误解了这个问题,否则这个问题似乎有点太明显,不需要明确的文档,因为存储桶策略是存储桶策略。
每个存储桶都有一个关联的访问控制策略。此策略控制存储桶中对象的创建,删除和枚举。 (强调添加)
http://docs.aws.amazon.com/AmazonS3/latest/dev/BucketAccess.html
每个存储桶都有一个可选的存储桶策略。
存储桶策略仅适用于附加策略的存储桶,因此不会影响任何其他存储桶中的任何其他资源。如果我访问存储桶A,则服务没有理由考虑存储桶B的存储桶策略中的任何内容。
在技术上也不可能将与逻辑实体相同的策略附加到多个存储桶,因为S3存储桶策略不是独立的逻辑实体 - 策略文档的实际内容是存储桶属性,没有抽象层。将相同的策略应用于多个存储桶需要将相同的文档应用于每个存储桶,并随后修改这些存储桶中的任何一个存储桶。策略对任何其他存储桶都没有影响,因为该服务没有跨多个存储桶应用存储桶级策略的概念。