如何解决如何使用IAM策略AWS仅向S3存储桶的根帐户用户授予访问权限?
我想创建一个只有根帐户才能拥有完全访问权限的s3存储桶策略,该怎么办?
示例:
{
"Version": "2012-10-17","Statement": [
{
"Sid": "Allow full access for root account user","Effect": "Allow","Principal": {
"AWS": "root"
},"Action": "s3:*","Resource": [
"arn:aws:s3:::ih-deploy-bucket/*","arn:aws:s3:::ih-deploy-bucket"
]
}
]
}
或添加类似条件
"Condition": {
"StringEquals" : {"aws:username" : "rootUser"}
}
解决方法
这是带有Deny
的显式NotPrincipal
的极少数(如果不是唯一)用例之一:
{
"Version": "2012-10-17","Statement": [
{
"Effect": "Deny","NotPrincipal": {
"AWS": "arn:aws:iam::<your-account-number>:root"
},"Action": "s3:*","Resource": [
"arn:aws:s3:::ih-deploy-bucket/*","arn:aws:s3:::ih-deploy-bucket"
]
}
]
}
这将明确拒绝不是(不是 )根帐户用户的所有主体,包括IAM用户,该帐户中的假定角色会话和联盟用户。 而且由于根用户始终对所有资源具有明确的“允许所有操作”,因此根用户的基于身份的许可权会赋予其实际的“允许”,因此根用户将有权访问该存储桶。
之所以可行,是因为您帐户中使用的呼叫者身份始终同时具有多个主体,IAM正在评估它们的策略声明:
- 帐户负责人
arn:aws:iam::<your-account-number>:root
- 用户,承担的角色或联合用户主体
对于显式Allow
,如果您仅在策略声明的Principal
规则中使用根帐户主体,则该帐户中的 any 用户将匹配允许和将被授予访问权限,因为帐户主体始终是该帐户中用户主体列表的一部分。
但是,在Deny
和NotPrincipal
的情况下,情况有所不同。在这里,NotPrincipal
的列表必须将呼叫者身份的所有主体列入白名单,以免被拒绝。
此事实在AWS文档中有关NotPrincipal
:https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notprincipal.html
,将NotPrincipal与Deny一起使用时,还必须指定帐户 未拒绝的主体的ARN。否则,该政策可能会拒绝 访问包含委托人的整个帐户。取决于 您包含在策略中的服务,AWS可能会验证 帐户,然后是用户。如果是假定的角色用户( 正在使用角色),AWS可能会验证该帐户 首先是角色,然后是角色用户。
"AWS": "root"
应更改为
"AWS": "arn:aws:iam::<your-account-number>:root"
,
就像httpdigest在此答案中所说,root用户始终对所有资源都具有明确的“允许所有操作”。
所以我阻止了对所有其他状况不佳的用户的所有权限。而且root用户始终具有访问权限。
{
"Version": "2012-10-17","Statement": [
{
"Sid": "Block all user not in condition,but the root has permission","Effect": "Deny","Principal": {
"AWS": "*"
},"Resource": [
"arn:aws:s3:::bucket/*","arn:aws:s3:::bucket"
],"Condition": {
"NotIpAddress": {
"aws:SourceIp": "175.222.100.192"
},"StringNotEquals": {
"aws:username": "user1"
}
}
}
]
}
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。