我有bucket策略,只允许从VPC:访问
{
"Version": "2012-10-17",
"Id": "aksdhjfaksdhf",
"Statement": [
{
"Sid": "Access-only-from-a-specific-VPC",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::zzzz",
"arn:aws:s3:::zzzz/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-xxxx"
}
}
}
]
}
我想允许来自AWS Textract的流量也进入这个bucket。我尝试过各种方法,但由于"明确否认"(我要求(的绝对优先级,我无法使其发挥作用。
是否有不同的策略制定或完全不同的方法来限制对该S3 Bucket的访问仅限于来自VPC和来自Textract服务的流量?
这是不可能的。
通常,最好避免使用Deny策略,因为它们会覆盖任何Allow策略。众所周知,它们很难正确配置。
一种选择是删除Deny,并非常小心谁被授予了对bucket的Allow访问权限。
然而,如果这太难了(例如,默认情况下,管理员可以访问所有存储桶(,那么常见的做法是将敏感数据移动到不同AWS帐户中的S3存储桶,并且只向特定用户授予跨帐户访问权限。