Политика AWS S3 Bucket с пустым основным массивом

Question

У меня есть старая политика S3, которая предоставляет полный доступ к S3 нескольким принципам.После редактирования политики я получил ошибку:

Недопустимый принцип в политике

Оказывается, что все принципы в моем заявлении были, например, в форматеAIDADJFUT4RIFUGHRU7FU.Это удаленная учетная запись?

Я удалил все экземпляры этих недействительных принципов, и теперь у меня есть пустой массив.Я планировал оставить этот массив пустым на данный момент, но я хочу убедиться, что я не случайно оставлю свое ведро S3 открытым для всего мира.

Безопасна ли следующая политика?

{
    "Version": "2008-10-17",
    "Id": "Policy123456789",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "AWS": []
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::my-bucket/my-directory/*"
            ]
        }
    ]
}

Answer 1

Вы можете просто оставить политику как есть и изменить Эффект с Разрешить на Запретить.

Открытая политика требует, чтобы Принцип был установлен в качестве подстановочного знака: '*', например:

"Principal":"*"

или

"Principal":{"AWS":"*"}

Это сделало бы заявление открытым для всего мира.