amazon-web-services - AWS IAM 政策通配符和受限访问

Question

嗨，我有一个 IAM 策略，其中包含以下代码段，声明如下：-

...
{
         "Effect"   : "Allow",
         "Action"   : "dynamodb:*",
         "Resource" : [
                       "arn:aws:dynamodb:*:*:table/sampletable",
                       "arn:aws:dynamodb:*:*:table/*",
                       "arn:aws:dynamodb:*:*:table/*/stream/*"
                       ]
         }
..

在这种情况下会发生什么情况，其中有受限表/样本表和 wildchar ？

我无法在文档中得到答案。

score 0 · Accepted Answer

在这种情况下，

"arn:aws:dynamodb:*:*:table/*",

将考虑资源规范，因为它具有更广泛的范围，有效地“覆盖”另一个，因此table/*也将匹配table/sampletable资源。

我不确定您为什么称该表为“受限”。如果您尝试限制对示例表的访问，则需要添加另一个策略语句，Effect: Deny并在资源列表示例表的 ARN 中指定。在这种情况下，请求将被拒绝，因为Deny它具有优先权。请参阅确定请求是允许还是拒绝。

amazon-web-services - AWS IAM 政策通配符和受限访问

1 回答 1

Related

Reference