我发现,当我在 IAM 策略中使用 NotResource 作为掩码并将其附加到存储桶时,受该策略影响的资源是该存储桶中我未在 NotResource 子句中指定的所有资源。我需要指出明确说明情况如此的文档。我一直在查看内联策略以及 s3 访问管理和策略的文档,但我很难找到这些特定信息。文档中是否说明了在内联策略中指定资源的限制?
除非我误解了这个问题,否则这个问题似乎有点太明显了,不需要明确的文档,因为存储桶策略就是存储桶策略。
每个存储桶都有一个关联的访问控制策略。此策略控制存储桶中对象的创建、删除和枚举。(着重号后加(
http://docs.aws.amazon.com/AmazonS3/latest/dev/BucketAccess.html
每个存储桶都有一个可选的存储桶策略。
存储桶策略仅适用于策略附加到的存储桶,因此不会影响任何其他存储桶中的任何其他资源。 如果我访问存储桶 A,则服务没有理由考虑存储桶 B 的存储桶策略中的任何内容。
从技术上讲,也无法将同一策略与逻辑实体附加到多个存储桶,因为 S3 存储桶策略不是独立的逻辑实体 - 策略文档的实际内容是存储桶属性,没有抽象层。 将同一策略应用于多个存储桶需要将相同的文档应用于每个存储桶,并且对这些存储桶策略中的任何一个的后续修改都不会对任何其他存储桶产生影响,因为该服务没有跨多个存储桶应用的存储桶级策略的概念。