我有一个存储桶,具有附加特定策略的用户可以专门访问该存储桶。例如,具有诸如AdministratorAccess之类的托管策略的管理员用户当然可以访问所有资源,我希望避免这种情况。推荐的方法是通过角色锁定访问吗?
谢谢
答案 0 :(得分:1)
Amazon S3存储桶默认为私有。
如果您不希望授予某些用户对该存储桶的访问权限,则只需不授予他们访问权限。
如果您授予某些用户(例如Admins)通配符访问权限,则可以通过Deny操作添加存储桶策略,该操作禁止除选定用户外的所有用户访问存储桶(通过NotCondition)。 Deny将始终覆盖Allow。
但是,由于管理员用户可能具有修改此类策略的权限,因此您需要仔细编写策略代码。
在存在非常敏感的信息(例如HR数据)的情况下,一些公司创建单独的AWS帐户,其中只有特定用户有权访问,而 Admin用户则没有访问权限 >。这需要更多的工作,但对于敏感数据可能是必需的。