S3 删除目录上的对象策略
Posted
技术标签:
【中文标题】S3 删除目录上的对象策略【英文标题】:S3 Delete Object policy on a directory 【发布时间】:2013-11-04 20:21:23 【问题描述】:我有一个存储桶,我们删除了 DeleteObject 权限,这样经过身份验证的用户就不会删除数据。
政策如下所示:
"Version": "2008-10-17",
"Id": "test-s3-privileges",
"Statement": [
"Sid": "Stmt1",
"Effect": "Allow",
"Principal":
"AWS": "arn:aws:iam::xxxxxxxxxx:root"
,
"Action": "s3:*",
"Resource": "arn:aws:s3:::test/*"
,
"Sid": "Stmt2",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:DeleteObject",
"Resource": "arn:aws:s3:::test/*"
]
现在,我正在测试 HUNK (http://www.splunk.com/view/hunk/SP-CAAAH2E)。该产品希望在“test”存储桶下创建一个名为 splunk 的子目录,并希望有权删除它在 test/splunk/ 目录下创建的对象。
所以,我在政策中添加了以下声明:
"Sid": "Stmt3",
"Effect": "Allow",
"Principal":
"AWS": "arn:aws:iam::xxxxxxxxxx:user/abc"
,
"Action": "s3:DeleteObject",
"Resource": "arn:aws:s3:::test/splunk/*"
但我仍然无法删除 test/splunk 目录下的数据。有人可以帮我弄清楚我做错了什么吗?还是有更好的方法来解决这个问题?
注意:- 我只想从 test/splunk/* 中删除数据,而不是从 test/* 下的任何其他目录中删除数据
【问题讨论】:
【参考方案1】:显式拒绝会覆盖任何显式允许,因为默认操作是拒绝。 http://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html
明确地允许您需要的东西总是比允许“*”并拒绝特定操作更好。使用显式 Allow 操作,您很少需要使用显式 Deny 语句。
【讨论】:
以上是关于S3 删除目录上的对象策略的主要内容,如果未能解决你的问题,请参考以下文章