Я хотел бы спросить, знает ли кто-нибудь разницу между "ресурсом" и "принципалом" при создании aws_iam_policy_document в terraform.
Документация terraform содержит следующую информацию:
resource : список ARN ресурсов, к которым применяется этот оператор.Это требуется AWS, если используется для политики IAM.
принципалы : вложенный блок конфигурации (описан ниже), задающий ресурс (или шаблон ресурса), для которогоэто утверждение применимо.
Из прочтения вышеупомянутых двух предложений кажется, что они имеют одинаковый эффект , даже если они думают, что могут делать разные вещи.
В ходе дальнейших исследований я наткнулся на эту статью , в которой объясняются различия между основанными на идентификаторах и основанными на ресурсах политиками.
Мне кажется, что это может быть ответом на мой вопрос.Если да, то, насколько я понимаю, ресурс - это политика, основанная на ресурсах, а принципал - политика, основанная на идентичности.Это верно?
Если это так, мой следующий вопрос: могу ли я использовать оба типа политик вместе для дальнейшего ограничения доступа?
Например, если у меня включена политика ресурсовкорзина S3, предоставляющая полный публичный доступ, но чем я добавляю политику на основе идентификаторов для одного пользователя, станет ли этот пользователь единственным, кто может получить доступ к корзине?
Я ценю вашу помощь и постараюсьуточнить все, что может быть неясно.