我正在以编程方式添加和删除 AWS IAM 用户策略,并且我从应用这些策略中得到不一致的结果。
例如,这可能会也可能不会成功(我使用的是 Java 1.6.6 SDK):
- 从可以读取特定存储桶的用户开始
- 清除用户策略(列出策略,然后为每个策略调用“deleteUserPolicy”)
- 等到用户没有用户策略(调用“listUserPolicies”,直到它返回一个空集)
- 尝试从存储桶中读取(这应该会失败)
如果我在 #3 和 #4 之间放置一个断点并等待几秒钟,则用户无法从存储桶中读取,这是我所期望的。如果我删除断点,用户可以从存储桶中读取,这是错误的。
(当我添加策略然后访问资源时,这也是不一致的)
我想知道策略更改何时对组件(S3、SQS 等)产生影响,而不仅仅是对 IAM 系统产生影响。有什么方法可以从中获得收据或确认吗?或者也许有一定的时间等待?
是否有关于政策应用内部的任何文档?
(仅供参考,我从https://forums.aws.amazon.com/thread.jspa?threadID=140383&tstart=0复制了我的问题)