1

我有一个存储桶,我们已经删除了 DeleteObject 权限,这样经过身份验证的用户就不会删除数据。

该政策如下所示:

{
"Version": "2008-10-17",
"Id": "test-s3-privileges",
"Statement": [
{
"Sid": "Stmt1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::xxxxxxxxxx:root"
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::test/*"
},
{
"Sid": "Stmt2",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:DeleteObject",
"Resource": "arn:aws:s3:::test/*"
}
]
}

现在,我正在测试 HUNK(http://www.splunk.com/view/hunk/SP-CAAAH2E)。该产品希望在“test”存储桶下创建一个名为 splunk 的子目录,并希望有权删除它在 test/splunk/ 目录下创建的对象。

因此,我在策略中添加了以下语句:

{
"Sid": "Stmt3",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::xxxxxxxxxx:user/abc"
},
"Action": "s3:DeleteObject",
"Resource": "arn:aws:s3:::test/splunk/*"
}

但是我仍然无法删除 test/splunk 目录下的数据。有人可以帮我弄清楚我做错了什么吗?还是有更好的方法来解决这个问题?

注意:- 我只想从 test/splunk/* 中删除数据,而不是从 test/* 下的任何其他目录中删除数据

4

1 回答 1

0

显式拒绝会覆盖任何显式允许,因为默认操作是拒绝。 http://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

明确地允许您需要的东西总是比允许“*”并拒绝特定操作更好。使用显式 Allow 操作,您很少需要使用显式 Deny 语句。

于 2016-02-08T12:18:32.510 回答