错误：应用 VPC 策略后 S3 存储桶中的访问被拒绝

Question

我已对allow only connections from my VPC应用了一项政策：

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909153",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPC-only",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::examplebucket",
                    "arn:aws:s3:::examplebucket/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:sourceVpc": "vpc-111bbb22"
         }
       },
       "Principal": "*"
     }
   ]
}

但现在我得到“拒绝访问”，即使我尝试从给定 VPC 中的实例从 AWS 控制台访问它：

我已经阅读了https://aws.amazon.com/premiumsupport/knowledge-center/s3-regain-access/，但很遗憾我使用的是公司提供的联合登录，并且无法访问完整的 root 用户。

我的问题是为什么即使在 VPC 中我也无法访问存储桶？

我发现的一些类似问题 - Policy Denying Access On Amazon S3 和 S3 VPC end point Bucket policy

Answer 1

为防止您的策略在 AWS 控制台中应用于联合用户，您可以在策略声明中使用 NotPrincipal 元素而不是 Principal 将他们“列入白名单”。例如：

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909153",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPC-only",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::examplebucket",
                    "arn:aws:s3:::examplebucket/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:sourceVpc": "vpc-111bbb22"
         }
       },
       "NotPrincipal": {
         "Federated": "arn:aws:iam::YOUR-AWS-ACCOUNT-ID:saml-provider/YOUR-PROVIDER-NAME"
       }
     }
   ]
}

Answer 2

您是否设置了 S3 的 VPC 终端节点？

在 S3 中有两种访问对象的方法。一种是通过 AWS 控制台，另一种是通过对 S3 对象的 HTTPS 调用。

如果您尝试从 AWS 控制台访问存储桶，则权限由您的 IAM 用户/角色和存储桶策略控制。您正在使用联合登录，所以我假设它是一个角色。

从 VPC-111bbb222 中的一个实例，注销 AWS 控制台并尝试使用 HTTPS URL 访问该存储桶中的对象。