这是一个后续但独立的问题AWS s3 bucket policy invalid group principal影响其他组的S3资源上的AWS IAM组策略?
我有2组:开发人员和合作者。 Devlopers具有预配置的“PowerUser”组策略。合作者有以下组策略
{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:ListAllMyBuckets"
],
"Resource":"arn:aws:s3:::*"
},
{
"Effect":"Allow",
"Action":[
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource":"arn:aws:s3:::bucket"
},
{
"Effect":"Allow",
"Action":[
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource":"arn:aws:s3:::bucket/*.txt"
}
]
}
该桶的政策否定的未加密的txt文件上传:
{
"Version": "2008-10-17",
"Id": "PutObjPolicy",
"Statement": [
{
"Sid": "DenyUnEncryptedObjectUploads",
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucket/*.txt",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "AES256"
}
}
}
]
}
我期待的行为:“开发者”组可以把任何类型的文件,“.txt”文件必须加密,包括制作目录。 “协作者”组只能放置,获取和删除“.txt”文件,它们不能创建目录。
我得到的行为与“开发人员”的预期相同。 “协作者”的行为与开发者相同,他们只能放置“.txt”文件时可以放置任何文件。
我在做什么错?
也许您正在测试的开发者属于两个组? – yegor256
不是,他绝对只是“开发者”组织的成员之一。我的所有用户都只是一个组的成员。 – HoaxKey