Это последующий, но независимый вопрос от AWS s3 bucket policy invalid group principalПолитика группы AWS IAM на ресурсе S3, влияющем на другие группы?
У меня есть 2 группы: Разработчики и сотрудники. Devlopers имеют предварительно сконфигурированную политическую политику «PowerUser». Соавторы имеют следующую групповую политику
{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:ListAllMyBuckets"
],
"Resource":"arn:aws:s3:::*"
},
{
"Effect":"Allow",
"Action":[
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource":"arn:aws:s3:::bucket"
},
{
"Effect":"Allow",
"Action":[
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource":"arn:aws:s3:::bucket/*.txt"
}
]
}
Ковш имеет следующую политику, чтобы запретить загрузку незашифрованных .txt файлов:
{
"Version": "2008-10-17",
"Id": "PutObjPolicy",
"Statement": [
{
"Sid": "DenyUnEncryptedObjectUploads",
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucket/*.txt",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "AES256"
}
}
}
]
}
поведение я ожидаю: группа «Разработчик» может поставить любой тип файла , файлы .txt должны быть зашифрованы, включая создание каталогов. Группа «Collaborator» может помещать, получать и удалять только файлы «.txt», они не могут создавать каталоги.
Поведение, которое я получаю, как и ожидалось для «Разработчика». Поведение «Collaborators» идентично разработчикам, они могут помещать любой файл, когда они должны только иметь возможность добавлять файлы «.txt».
Что я делаю неправильно?
Возможно, разработчик, с которым вы тестируете, принадлежит к обеим группам? – yegor256
Нет, он определенно входит в группу 1 Group, группу разработчиков. Все мои пользователи являются только членами одной группы. – HoaxKey