我正在尝试阻止帐户中的有效主体访问帐户之外的存储桶,并尝试使用S3端点。
我的帐户在us-east-1中,而我的存储桶在同一地区。当我配置S3端点并仅允许通过端点策略访问特定存储桶时,我看到拒绝访问同一区域中的其他存储桶。尽管这看起来很直观,但是主体的IAM策略或存储桶策略都没有明确拒绝。
因此,问题1 :这是预期的端点行为吗?
现在,如果我尝试访问us-west-1中的存储桶,即使端点策略中没有Allow子句,并且us-west-1中没有其他存在,我也可以访问它。这意味着端点策略仅适用于在与端点相同的区域中定义的存储桶。
因此,问题2 :我的观察正确吗?如果是这样,我如何防止访问除当前帐户(us-east-1)之外的其他区域中的任意存储桶?
谢谢!