在询问this问题之后,我做了一些挖掘工作,并找到了一些政策:
{
"Effect":"Allow",
"Action":"*",
"Resource":"*"
}
在他们中间。
再次阅读policies evaluation logic页面,第二步对我来说很突出:
我的问题的第一部分是: AWS如何确定适用的政策? 据我所知,这是通过查看 Principle 和/或 Resource 键来完成的。
但是:在IAM中,这些政策附加了与我的理解相同的实体,与原则相同。这涉及到问题的第二部分:
附加实体对政策的作用是什么?
据我所知,这一切都告诉AWS该策略适用于某个角色,但我不明白这是如何在策略中使用"Resource":"*"的。
"Resource":"*"政策始终适用?答案 0 :(得分:1)
1>在发出请求时(使用访问密钥或控制台),您将传递用户名/角色名称。因此,我们假设您正在使用IAM用户访问API。因此,AWS将检查附加到用户的策略,附加到IAM组的策略(如果有)。此外,它还检查是否存在任何基于资源的策略,例如S3存储桶策略,SNS主题策略,由请求中的资源确定。
2 - ;如果您不将其附加到IAM实体或任何资源(针对基于资源的策略),则策略不会执行任何操作。附加实体(我认为你指的是IAM实体)用于决定主体,然后它告诉在何处检查权限(无论是IAM用户,还是检查IAM组成员资格等)。
3>资源:*表示此策略授予任何AWS资源的权限。所以你提到的政策将翻译: 允许("效果":"允许")每个资源("行动":" ")对每个资源(&# 34;资源":" &#34)
希望这会有所帮助..