程序员经验分享-hwhale

sso 用户的 s3 存储桶策略

2024-04-22

我想允许特定角色“test-role”在特定存储桶“test-bucket”上执行所有 s3 操作。拒绝为所有其他人提供桶。我写的 s3 策略:

{
 "Version": "2012-10-17",
 "Id": "Policy1601973417173",
 "Statement": [
 {
 "Sid": "Allow role test-role",
 "Effect": "Allow",
 "Principal": {
 "AWS": "arn:aws:iam::xxxxxxxx:role/test-role"
 },
 "Action": "s3:*",
 "Resource": "arn:aws:s3:::test-bucket/*"
 },
 {
 "Sid": "Deny rest",
 "Effect": "Deny",
 "NotPrincipal": {
 "AWS": "arn:aws:iam::xxxxxxxx:role/test-role"
 },
 "Action": "s3:*",
 "Resource": "arn:aws:s3:::test-bucket/*"
 }
 ]
}

即使应用上述策略后,映射到角色“test-role”的 sso 用户在存储桶上的访问仍被拒绝。

注意:AWS 控制台将登录用户显示为“联合登录:test-role/[电子邮件受保护] /cdn-cgi/l/email-protection".

我也尝试过“假定角色”选项仍然失败。任何帮助表示赞赏。


尝试这个:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::test-bucket",
                "arn:aws:s3:::test-bucket/*"
            ],
            "Condition": {
                "StringNotLike": {
                    "aws:userId": [
                        "AIDA<udserid-1-suppressed>:*",
                        "AIDA<udserid-1-suppressed>",
                        "AIDA<udserid-2-suppressed>:*",
                        "AIDA<udserid-2-suppressed>",
                        "AIDA<udserid-n-suppressed>:*",
                        "AIDA<udserid-n-suppressed>",
                        "111111111111"
                    ]
                }
            }
        }
    ]
}
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

amazonwebservices

amazons3

amazoniam

sso 用户的 s3 存储桶策略 的相关文章

随机推荐

  • C# 中的抽象枚举

    有没有办法制作一个 protected enum abstract in C 基类示例 protected abstract enum commands CS0106 protected abstract void useCommands

  • 在 SQL 表的列中分离大小相关数据是否更有效?

    我有一个 MySQL 数据库表 其中有一列类型为 varchar 386 我选择这个字符数是因为我事先计算了最长条目的字符数 我目前有 400 000 个条目 但预计会随着时间的推移而增加 我进行了一些测试 发现大约 390 000 个条目

  • 如何使 Maven 程序集插件 dependencySets 描述符包含 POM 文件中定义的依赖项?

    例如 POM 依赖声明 这仅用于演示目的 而不是我的实际代码

  • DB2 400 落柱

    我想删除一个名为id这是一个自动递增的PK SQL alter table CO88GT XGLCTL drop column id cascade 我得到 Error SQL0952 Processing of the SQL state

  • 如何在其他标记之上显示 Google 地图 Android 标记?

    我的应用程序中有多个标记 有时其中一些位于同一位置 我希望其中一些标记始终显示在其他标记的前面 我应该如何进行 先感谢您 标记 setZIndex Float MAX VALUE

  • Three.js StereoEffect 显示 2 只眼睛的网格

    我有一个使用 StereoEffect 渲染器的 THREE js 场景 但是 当我向场景添加新网格时 它们会显示在两只眼睛上 而不是为每只眼睛重复显示 我相信 THREE js 应该自动完成 我不必自己复制它们 我尝试复制它们 但这是很多

  • Facebook Messenger API:发送结构化消息

    当关注时这个例子 https developers facebook com docs messenger platform quickstart messageData attachment type template payload t

  • 将 mbTiles 文件合并在一起的最佳方法

    我已经从 openMapTiles 为美国地图的不同子区域生成了 mbtile 现在 我想将所有生成的 mbTiles 文件合并在一起 有什么更好的方法来做到这一点 Thanks 一旦你有tile join https github com

  • 在 SD 卡上安装 Android 应用

    我开发了一个可以安装在 SD 卡或移动内存中的应用程序 我用了android installLocation属性设置为 auto 现在我面临的问题是 当我在设备上运行应用程序时 它显示我已启用 移动到 SD 卡 按钮 但是当我将应用程序上传

  • 如何使用 tf.data.Dataset.from_generator() 将参数发送到生成器函数?

    我想创建多个tf data Dataset使用from generator 功能 我想向生成器函数发送一个参数 raw data gen 这个想法是生成器函数将根据发送的参数产生不同的数据 这样我想raw data gen能够提供训练 验证

  • 在 C# 中,为什么不能在 foreach 循环中修改值类型实例的成员?

    我知道值类型应该是不可变的 但这只是一个建议 而不是规则 对吗 那么为什么我不能做这样的事情 struct MyStruct public string Name get set public class Program static vo

  • 如何去掉ListView添加item的动画?

    我有一个ListView我编辑了它ItemContainerStyle修改某些样式 但我不知道如何在添加项目时删除那个烦人的动画 With an ItemsControl 当您添加新项目时 它会立即出现 没有任何动画 With ListVi

  • 如何完全清除所有 matplotlib 图的内存

    我有一个数据分析模块 其中包含调用的函数matplotlib pyplotAPI 多次 每次运行最多生成 30 个数字 这些数字在生成后会立即写入磁盘 因此我需要将它们从内存中清除 目前 在每个函数结束时 我都会 import matplo

  • 如何使用 drf-yasg 自动生成的 swagger 页面配置“HTTPS”方案?

    我知道在传统的 swagger YAML 文件中 我们可以使用以下方式定义方案 schemes http https OR schemes http https 但是 我如何使用自动生成的 swagger 页面做同样的事情drf yasg图

  • Android MediaRecorder 和 setOutputFile

    我阅读了 Android SDK 发现 MediaRecorder 类可以从相机 音频或其他源获取输入并对其进行压缩 通过 setOutputFile 方法 您可以指定要存储数据的位置 文件或 URI 但是如果我想将该数据存储在内存缓冲区中

  • 将字符向量列表转换为数据帧

    我的输出 a 看起来像 str a List of 8883695 chr 1 3 20MICRONS A ACCRUALS chr 1 3 20MICRONS A ACCRUALS chr 1 3 20MICRONS A ACCRUALS

  • 检查针对 SQL Server 数据库的 LINQ 查询

    有什么方法可以在 NET 中查看我们正在触发的针对数据库的 LINQ 查询吗 例如 我正在 LINQ 中编写一个查询 我想看看触发了什么 SQL 查询来与数据库进行通信 有没有 Visual Studio 窗口或其他方式 你在寻找类似的东西

  • 带 python 列表的循环引用

    有人可以解释一下吗 gt gt gt x x 0 0 gt gt gt x gt gt gt x is x 0 True gt gt gt x 0 0 0 0 0 0 0 gt gt gt x in x True what is 这只是 P

  • OpenCV 3.0.0 使用 FFMPEG 时出错

    我使用 OpenCV 一段时间了 但是 我最近将系统更改为没有任何管理员权限的集群 问题是这样的 在我的主文件夹中 我安装了 FFMPEG ffmpeg 网站上提供的最新稳定版本 我将它安装在 HOME 中 因此在 HOME lib 中安装

  • sso 用户的 s3 存储桶策略

    我想允许特定角色 test role 在特定存储桶 test bucket 上执行所有 s3 操作 拒绝为所有其他人提供桶 我写的 s3 策略 Version 2012 10 17 Id Policy1601973417173 Statem

热门标签