AWS bucket策略声明优先级顺序

AWS IAM策略中没有优先级顺序。请参阅此处的策略评估逻辑。

AWS强制代码评估帐户中适用于请求的所有策略。如果代码发现哪怕是一个应用的显式拒绝，代码都会返回拒绝的最终决定。

您当前的策略拒绝除管理员用户之外的所有用户执行任何S3操作。因此，users_with_limited_access无法执行授予的操作。

请向适当的负责人更新您的政策(根据您问题中的意见(，并参考下面更新的政策使其生效。

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:user/s3-limited-access-user"
},
"Action": [
"s3:GetBucketPolicy",
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::example-bucket",
"arn:aws:s3:::example-bucket/*"
]
},
{
"Sid": "2",
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::111111111111:user/s3-no-access-user"
},
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::example-bucket",
"arn:aws:s3:::example-bucket/*"
]
},
{
"Sid": "3",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:user/admin-user"
},
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::example-bucket",
"arn:aws:s3:::example-bucket/*"
]
}
]
}

您应该非常小心使用NotPrincipal。最好的做法是避免同时使用。大多数时候，在不使用"策略语义"的情况下实现相同的功能(策略语义(是非常容易的；危险的"；CCD_ 2。

我认为您最好创建特定的IAM角色，并将它们分配给您希望允许访问S3 bucket的相应用户组。之后，用针对"Principal" : "*"和aws:userId或aws:PrincipalArn的显式Deny来阻止对桶的所有其它访问。

查看本文了解更多详细信息https://levelup.gitconnected.com/how-i-locked-the-whole-company-out-of-an-amazon-s3-bucket-1781de51e4be

最佳，Stefan