在AWS中，S3和IAM权限是否不同？

S3权限与IAM权限无关

情况并非如此。存储桶及其对象的有效许可是基于IAM身份的许可（即，附加到IAM用户，角色，组的那些）的联合，加上存储桶策略以及其他许可（ SCP，IAM边界），为简单起见，我不会提及。

默认情况下，存储桶和对象是私有的。您可以使用IAM策略，存储桶策略或同时使用两者来Allow访问它们。有效权限将是所有这些单独权限的并集。这意味着您可以使用存储桶策略向同一IAM用户授予对object1的访问权限，并可以使用IAM策略向object2授予访问权限。该用户将可以访问两个对象。

当有Deny时，此行为就会改变，因为拒绝总是赢了。因此，IAM用户可以在给定存储桶的IAM策略中拥有Allow，但是该存储桶可以为该用户拥有Deny。结果将始终为Deny。

因此，所有这些都意味着应将存储桶策略和IAM权限一起考虑并相互连接。因此，您不能说“ S3权限与IAM权限无关”。

IAM用户默认情况下没有权限。如果他们希望通过经过身份验证的API调用任何操作，则必须授予他们这样做的权限。

即使Amazon S3存储桶策略向IAM用户授予访问权限，他们也无法访问Amazon S3中的内容，除非其IAM权限允许他们进行关联的API调用（例如ListBuckets或GetObject）

请注意，我指的是通过网络浏览器URL的经过身份验证的API调用，不是匿名HTTP请求。

桶策略可以通过引用"Principal": "*"来授予“公共访问权限”（这意味着即使未经身份验证的用户也可以通过URL检索内容），或者可以授予对特定IAM的访问权限用户和IAM角色。但是，如果该用户/角色无权调用任何S3操作，则他们将无法访问存储桶。

IAM或存储桶策略中的Deny策略优先于Allow。因此，桶策略可以拒绝具有访问桶权限的IAM用户，反之亦然。

在AWS IAM中，可以生成所有策略并将其分配给用户和/或角色。 通常，AWS建议使用S3存储桶策略或IAM策略进行访问控制。

“ S3 ACL是一种先于IAM的旧式访问控制机制。但是，如果您已经使用过S3 ACL并且发现它们已经足够， 无需更改。”

默认情况下，用户/角色采用由SCP提供的代表“服务控制策略”的策略。它与您可能面临的政策非常相似，但这是由帐户级别或组织级别提供的。

在所有用于生成和采用策略的选项中，都有一个逻辑“和”，这意味着如果在策略中至少有1个“拒绝”，它将限制用户/角色对特定存储区的访问就您而言