错误：访问在S3桶被拒绝申请VPC政策

Question

后，我已申请一项政策，allow only connections from my VPC：

{ 
    "Version": "2012-10-17", 
    "Id": "Policy1415115909153", 
    "Statement": [ 
    { 
     "Sid": "Access-to-specific-VPC-only", 
     "Action": "s3:*", 
     "Effect": "Deny", 
     "Resource": ["arn:aws:s3:::examplebucket", 
        "arn:aws:s3:::examplebucket/*"], 
     "Condition": { 
     "StringNotEquals": { 
      "aws:sourceVpc": "vpc-111bbb22" 
     } 
     }, 
     "Principal": "*" 
    } 
    ] 
} 

但现在我得到“拒绝访问”甚至当我尝试从AWS控制台访问在给定的VPC实例：

我读过https://aws.amazon.com/premiumsupport/knowledge-center/s3-regain-access/，但不幸的是我使用公司提供的联合登录和我没有访问完整的root用户。

我的问题是为什么即使在VPC内部也无法访问存储桶？

，我发现一些类似的问题 - Policy Denying Access On Amazon S3和S3 VPC end point Bucket policy

Answer 1

你有一个VPC端点S3设置？

在S3中有两种访问对象的方法。一个是通过AWS控制台，另一个是通过对S3对象的HTTPS调用。

如果您尝试从AWS控制台访问存储桶，则权限将由您的IAM用户/角色和存储桶策略进行管理。您正在使用联合登录，因此我认为这是一个角色。

从VPC-111bbb222中的实例中，注销AWS控制台并尝试使用HTTPS URL访问该存储桶中的对象。

Answer 2

要防止将您的策略​​应用于AWS控制台中的联合用户，可以在策略声明中使用NotPrincipal元素而不是Principal将它们“白名单”。例如：

{ 
    "Version": "2012-10-17", 
    "Id": "Policy1415115909153", 
    "Statement": [ 
    { 
     "Sid": "Access-to-specific-VPC-only", 
     "Action": "s3:*", 
     "Effect": "Deny", 
     "Resource": ["arn:aws:s3:::examplebucket", 
        "arn:aws:s3:::examplebucket/*"], 
     "Condition": { 
     "StringNotEquals": { 
      "aws:sourceVpc": "vpc-111bbb22" 
     } 
     }, 
     "NotPrincipal": { 
     "Federated": "arn:aws:iam::YOUR-AWS-ACCOUNT-ID:saml-provider/YOUR-PROVIDER-NAME" 
     } 
    } 
    ] 
}