【问题标题】:IAM Access Key permissions override an Explicit Deny in an IAM role?IAM 访问密钥权限会覆盖 IAM 角色中的显式拒绝?
【发布时间】:2021-05-30 01:06:47
【问题描述】:

我有一个 EC2 实例,其角色应用了以下策略:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "*"
        }
    ]
}

仅应用角色后,它按预期工作 - 我可以查看存储桶内容,但无法将对象复制到存储桶。

但是,如果我随后使用 AmazonS3FullAccess 策略为 IAM 用户添加访问密钥,则该实例能够将对象复制到存储桶。

这是怎么允许的?我的理解是,任何相关政策中的任何明确拒绝都是最终的。

【问题讨论】:

    标签: amazon-web-services amazon-iam


    【解决方案1】:

    发生这种情况是因为硬编码凭据具有 higher priority 然后是实例配置文件。随后,您的场景甚至不会考虑您的拒绝。

    最好将这种拒绝放在存储桶策略中,而不是实例角色中。

    【讨论】:

    • 谢谢!我知道它必须记录在某个地方。
    猜你喜欢
    • 1970-01-01
    • 2021-01-03
    • 2016-04-07
    • 1970-01-01
    • 2022-12-04
    • 1970-01-01
    • 2019-04-27
    • 2018-11-21
    • 1970-01-01
    相关资源
    最近更新 更多