amazon-web-services - AWS 资源策略中 'resource' 的用途是什么？

Question

根据标题，当资源策略已经将应用于特定资源时，在定义资源策略时具有资源字段的目的是什么。

例如，在这个 aws tutorial ，以下策略被定义为附加到队列。 resource 的目的是什么？ field ？

{
 "Version": "2008-10-17",
 "Id": "example-ID",
 "Statement": [
  {
   "Sid": "example-statement-ID",
   "Effect": "Allow",
   "Principal": {
     "AWS": "*"  
   },
   "Action": [
    "SQS:SendMessage"
   ],
   "Resource": "arn:aws:sqs:REGION:ACCOUNT-ID:QUEUENAMEHERE",
   "Condition": {
      "ArnLike": { "aws:SourceArn": "arn:aws:s3:*:*:bucket-name" }
   }
  }
 ]
}

Answer 1

S3 是一个很好的例子，说明您需要在策略中包含资源语句。假设您想在 S3 存储桶上有一个上传位置。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"Upload",
      "Effect":"Allow",
      "Principal": "*",
      "Action":["s3:PutObject"],
      "Resource":["arn:aws:s3:::examplebucket/uploads/*"]
    }
  ]
}

在这些情况下，您真的不想将资源默认为存储桶，因为它可能会意外导致全局访问。最好确保用户清楚地了解允许或拒绝哪些访问。

但是，为什么在不需要它的资源策略(如 SQS)中需要它呢？为此，让我们深入了解如何使用资源策略。

您可以通过 2 种方式授予对资源的访问权限:

IAM 委托(delegate)人(用户和角色)的基于身份的策略。

基于资源的策略

要理解的重要部分是如何使用资源策略？资源策略实际上是 IAM 在策略评估逻辑中用于授权的。换句话说，资源不负责留给 IAM(身份和访问管理)的实际授权。

由于 IAM 要求每个策略语句都具有 Resource 或 NotResource，这意味着如果资源丢失，服务将需要在将资源发送到 IAM 时添加该资源。因此，让我们从设计的角度来看看如果缺少资源，让服务添加资源的含义。

该服务不再需要仅验证策略是否正确。

如果语句中缺少资源，则服务需要在将策略发送到 IAM 之前更新策略。

现在有可能使用两种不同版本的资源策略。用户为编辑创建的一个和发送到 IAM 的一个。

通过将策略附加到错误的资源，它增加了用户错误和意外打开访问权限的可能性。如果我们修改问题中的策略声明，删除资源和条件声明，我们就有了一个非常开放的策略。这很容易附加到错误的资源，尤其是来自 CLI 或 terraform 的资源。

  {
   "Sid": "example-statement-ID",
   "Effect": "Allow",
   "Principal": {
     "AWS": "*"  
   },
   "Action": [
    "*"
   ]
  }

注意我根据我对 AWS 如何实现访问管理的理解，从一般设计的角度回答了这个问题。 AWS 实现系统的方式可能有点不同，但我对此表示怀疑，因为策略评估逻辑确实需要针对性能进行优化，因此最好在一项服务 IAM 中而不是在每项服务中这样做。

希望有帮助。

如果您对 Policy Evaluation Logic 的详细信息感兴趣，请额外阅读.

您可以通过 6 种方式拒绝访问:

身份政策

资源政策

组织政策，如果您的帐户是组织的一部分

如果设置了 IAM 权限边界

session 假定策略(如果使用)

如果没有允许策略，则隐含

这是完整的 IAM 策略评估逻辑工作流程。