1

我有只允许从 VPC 访问的存储桶策略:

{
  "Version": "2012-10-17",
  "Id": "aksdhjfaksdhf",
  "Statement": [
    {
      "Sid": "Access-only-from-a-specific-VPC",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::zzzz",
        "arn:aws:s3:::zzzz/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "aws:SourceVpc": "vpc-xxxx"
        }
      }
    }
    ]
}

我也想允许来自 AWS Textract 的流量到这个存储桶。我尝试了各种方法,但由于“明确拒绝”(我需要)的绝对优先级,我无法使其工作。

是否有不同的策略制定或完全不同的方法来限制对这个 S3 存储桶的访问仅限于来自 VPC 和来自 Textract 服务的流量?

4

1 回答 1

1

这是不可能的。

一般来说,避免Deny策略是一个好主意,因为它们会覆盖任何Allow策略。众所周知,它们很难正确配置。

一种选择是删除存储桶Deny并非常小心授予谁Allow访问存储桶的权限。

但是,如果这太难了(例如,默认情况下管理员被授予访问所有存储桶的权限),那么通常的做法是将敏感数据移动到不同 AWS 账户中的 S3 存储桶,并且只授予特定用户跨账户访问权限。

于 2020-11-10T20:38:38.187 回答