Ограничить учетную запись от удаления папки в S3, но разрешить чтение / запись в эту папку - PullRequest
Новая
       2

Ограничить учетную запись от удаления папки в S3, но разрешить чтение / запись в эту папку

0 голосов
/ 05 сентября 2018

Я хочу разрешить пользователям полный доступ к подпапкам, но не разрешать им удалять подпапки. Я написал эту политику, но она не работает. Он по-прежнему позволяет пользователю удалять «входящие» и «исходящие» папки. 

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AllowUserToSeeBucketListForAllowedBucket",
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:ListAllMyBuckets",
            "s3:HeadBucket",
            "s3:ListBucketVersions",
            "s3:GetBucketLocation"
        ],
        "Resource": "arn:aws:s3:::mybucketxxxx"
    },
    {
        "Sid": "AllowUserToListAllBuckets",
        "Effect": "Allow",
        "Action": [
            "s3:ListAllMyBuckets",
            "s3:HeadBucket"
        ],
        "Resource": "*"
    },
    {
        "Sid": "AllUserFullAccessWithinStandardFolders",
        "Effect": "Allow",
        "Action": [
            "s3:PutObject",
            "s3:GetObject",
            "s3:DeleteObject"
        ],
        "Resource": [
            "arn:aws:s3:::mybucketxxxx/marketing/inbound/*",
            "arn:aws:s3:::mybucketxxxx/marketing/outbound/*"
        ]
    },
    {
        "Sid": "DenyUserFromDeletingStandardFolders",
        "Action": [
            "s3:DeleteObject"
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::mybucketxxxx/marketing/inbound",
            "arn:aws:s3:::mybucketxxxx/marketing/outbound"
        ]
    }
]}

Можно ли делать то, что я хочу?

Ответы [ 2 ]

0 голосов
/ 06 сентября 2018

Просто измените последнюю часть вашей политики на: 

{
    "Sid": "DenyUserFromDeletingStandardFolders",
    "Action": [
        "s3:DeleteObject"
    ],
    "Effect": "Deny",
    "Resource": [
        "arn:aws:s3:::mybucketxxxx/marketing/inbound/",
        "arn:aws:s3:::mybucketxxxx/marketing/outbound/"
    ]
}

Это потому, что более ранняя политика предоставляет /*, которая включает /, но эта политика специально запрещает /.

0 голосов
/ 05 сентября 2018

Создайте отдельную роль IAM, для этой роли предоставьте s3 все разрешения, кроме удаления.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...