【发布时间】:2018-02-14 04:03:56
【问题描述】:
我正在尝试编写拒绝所有流量的 AWS S3 存储桶策略,除非它来自两个 VPC。我正在尝试编写的策略如下所示,两个StringNotEquals 之间有一个逻辑与(除非它是无效策略):
{
"Version": "2012-10-17",
"Id": "Policy1415115909152",
"Statement": [
{
"Sid": "Allow-access-only-from-two-VPCs",
"Action": "s3:*",
"Effect": "Deny",
"Resource": ["arn:aws:s3:::my-bucket",
"arn:aws:s3:::my-bucket/*"],
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "vpc-111bbccc"
},
"StringNotEquals": {
"aws:sourceVpc": "vpc-111bbddd"
}
},
"Principal": "*"
}
]
}
如果我使用这个:
"StringNotEquals": {
"aws:sourceVpc": ["vpc-111bbccc", "vpc-111bbddd"]
}
然后至少有一个字符串比较返回 true,并且无法从任何地方访问 S3 存储桶。
【问题讨论】:
标签: amazon-web-services amazon-s3 amazon-iam