如何解决aws:sourceVpce过滤器是否请求不使用VPC?
我想从特定的VPC过滤对S3外部的访问,并计划应用this article之类的策略。
在这种情况下,通过使用aws:sourceVpce
中的Condition
,我们可以过滤除特定VPC端点之外的访问。
但是我的S3存储桶还有另一个策略,允许从其他AWS服务进行访问以便存储日志。而且我担心这些访问权限是否也会被过滤。
我读了document about aws:sourceVpce,上面写着This key is included in the request context only if the requester uses a VPC endpoint to make the request.
。
这是否意味着aws:sourceVpce
不过滤未使用VPC终结点的请求,或者除使用特定VPC终结点以外的任何类型的请求?
解决方法
如果有任何权限明确声明了Deny
,则如果请求与“拒绝”匹配,则输出将始终为“拒绝”。
如果要阻止所有访问,除非满足多个条件之一,则需要将所有这些条件包括在deny语句中。
然后根据条件包括针对特定策略的其他allow语句。您将全局拒绝,然后允许VPCE和允许服务声明。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。