amazon-web-services - Terraform AWS S3 - 拒绝除特定用户以外的所有人-6ren

amazon-web-services - Terraform AWS S3 - 拒绝除特定用户以外的所有人

转载作者：行者123 更新时间：2023-12-05 01:52:03

25

4

我有一个桶，我需要限制特定用户，我写了下面的脚本，但它似乎仍然允许所有用户对该桶进行操作。

resource "aws_s3_bucket" "vulnerability-scans" {
  bucket = "vulnerability-scans"
}

resource "aws_s3_bucket_policy" "vulnerability-scans" {
  bucket = aws_s3_bucket.vulnerability-scans.id
  policy = data.aws_iam_policy_document.vulnerability-scans.json
}

data "aws_iam_policy_document" "vulnerability-scans" {
  statement {
    principals {
      type = "AWS"
      identifiers = [
        aws_iam_user.circleci.arn,
      ]
    }

    actions = [
      "s3:PutObject",
      "s3:GetObject",
      "s3:ListBucket",
    ]

    resources = [
      aws_s3_bucket.vulnerability-scans.arn,
      "${aws_s3_bucket.vulnerability-scans.arn}/*",
    ]
  }
}

最佳答案

我认为您必须考虑到其他用户可能在他们的策略中有 Allow，因此这里的方法应该是拒绝任何不是您想要的用户的用户访问。在 AWS 文档 [1] 中有详细的解释，但为了简洁起见，我认为 terraform 代码应该如下所示:

data "aws_iam_policy_document" "vulnerability-scans" {
  statement {
    sid    = "AllExceptUser"
    effect = "Deny"
    principals {
      type = "AWS"
      identifiers = ["*"]
    }

    actions = [
      "s3:PutObject",
      "s3:GetObject",
      "s3:ListBucket",
    ]

    resources = [
      aws_s3_bucket.vulnerability-scans.arn,
      "${aws_s3_bucket.vulnerability-scans.arn}/*",
    ]

    condition {
      test     = "StringNotLike"
      variable = "aws:userId"
      values = [
        aws_iam_user.circleci.arn
      ]
    }
  }
}

尽管引用 URL 说它是针对 IAM 角色的，但这同样适用于用户。 StringNotLike 条件运算符在 [2] 中有更详细的解释。

[1] https://aws.amazon.com/blogs/security/how-to-restrict-amazon-s3-bucket-access-to-a-specific-iam-role/

[2] https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String

关于amazon-web-services - Terraform AWS S3 - 拒绝除特定用户以外的所有人，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/71796584/

25

4

0

文章推荐： javascript - React 18 中 hooks 的顺序是什么？

文章推荐： haskell - 基于范数约束向量的类型

f# - 除F#以外，其他语言是否存在类型提供程序？
我已经坚持了好几天了……很抱歉遇到这样的问题，但是我只是F#本身的初学者。由于关于类型提供程序的讨论很多，所以我决定建立一个类型提供程序并撰写一篇有关它的论文。当我开始时，我不知道什么是类型提供程序。
c# - 除了ICMP(Ping)以外，如何从LAN控制计算机是否处于打开状态？
我正在开发LAN项目唤醒功能，但是我想控制局域网中计算机是否打开。但是我不想使用ICMP或WMI(我的网络上有DC)。那么，对于此问题，是否还有其他选择，例如“套接字连接”，请检查特定端口是否正在使用
windows - 除了 list 以外，是否有其他原因导致DLL重定向不起作用的原因？
我们有一个旧的VB6应用程序，该应用程序使用Crystal Reports XI生成打印报告。我们已经通过经验发现，如果Crystal Reports打印引擎选择了错误版本的 usp10.dll (W
android - 我在哪里可以获得更多 Android 权限的列表？ (以外 ...)
我正在尝试获取有效的 Android 权限列表。我知道 http://developer.android.com/reference/android/Manifest.permission.html
ubuntu - 如何通过不同端口(80 以外)启动 nginx
嗨，我是 nginx 的新手，我试图在我的服务器(运行 Ubuntu 4)上设置它，它已经运行了 apache。所以在我 apt-get install 它之后，我尝试启动 nginx。然后我收到这
vb6 - 如何在VB 6中检查对象的类型-除“TypeName”以外，是否还有其他方法
如何在VB 6中检查对象的类型-除了'TypeName'之外，是否还有其他方法，因为无法通过'TypeName'进行检查，我希望使用类似QuichWatch窗口的方法。最佳答案对于对象变量，请使用
java - 除了超时或 session.invalidate() 以外，JSP Web session 被重置的原因是什么？
我的 JSP 应用程序中有一个错误。发布后我的 session 被清除: YAHOO.util.Connect.asyncRequest('POST', Url, callback, post

首页

博学

6Ren·AI

商城

amazon-web-services - Terraform AWS S3 - 拒绝除特定用户以外的所有人