假设我有:
bucketxyz和两个用户组:group1和group2; allusers,其中包含group1和group2中的所有用户。然后:
bucketxyz的IAM策略,授予只读访问allusers和读/写(但没有所有权,以避免文件删除)group1。还要考虑bucketxyz的两个文件:file_shared.txt和file_resticted.txt以及这两种情况:
file_shared.txt可由group1中的某人编写,但也可以
group2中的用户可以访问 - 仅使用上述IAM政策即可完成。 file_restricted.txt只能由group1中的用户编写和访问。是否可以通过file_restricted.txt中bucketxyz的专用 ACL规则来实施方案#2?如果有,怎么样?
答案 0 :(得分:2)
IAM中的权限是同心的,并且没有“拒绝”的概念 - 如IAM Policy Hierarchy documentation中所述,“子策略不能限制父级授予的访问权限。”
要实现group1和group2可以访问file_shared.txt但只有group2可以访问file_restricted.txt的情况,您需要每个对象的授予访问权限group1和group2。或者,您可以在group2级别授予bucketxyz读/写访问权限,并将每个对象的读访问权限授予group1。