【发布时间】:2021-05-30 01:06:47
【问题描述】:
我有一个 EC2 实例,其角色应用了以下策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"s3:PutObject"
],
"Resource": "*"
}
]
}
仅应用角色后,它按预期工作 - 我可以查看存储桶内容,但无法将对象复制到存储桶。
但是,如果我随后使用 AmazonS3FullAccess 策略为 IAM 用户添加访问密钥,则该实例能够将对象复制到存储桶。
这是怎么允许的?我的理解是,任何相关政策中的任何明确拒绝都是最终的。
【问题讨论】:
标签: amazon-web-services amazon-iam