Я пытаюсь запретить доступ действительных принципалов в моей учетной записи к корзинам вне моей учетной записи и пытаюсь использовать конечную точку S3.
Моя учетная запись находится в us-east-1, а мои корзины находятся втот же регион.Когда я настраиваю конечную точку S3 и разрешаю доступ через политику конечных точек только к определенным сегментам, я вижу, что доступ к другим сегментам в том же регионе запрещен.Хотя это кажется интуитивно понятным, нет явного отрицания ни в политике IAM принципала, ни в политике сегмента.
Следовательно, вопрос № 1 : это ожидаемое поведение конечной точки?
Теперь, если я попытаюсь получить доступ к корзине в us-west-1, я смогу получить к ней доступ, даже если в политике конечных точек нет условия Allow и у меня нет другого присутствия в us-west-1.Это означает, что политика конечных точек применяется только к сегментам, определенным в той же области, что и конечная точка.
Следовательно, вопрос № 2 : правильно ли мое наблюдение?Если да, как я могу запретить доступ к произвольным корзинам, определенно тем, которые находятся вне моей учетной записи, в регионах, отличных от текущей (us-east-1)?
Спасибо!