我正在尝试防止我的帐户中有效的校长访问我帐户之外的存储桶,并尝试使用S3端点。
我的帐户在us-east-1中,我的存储桶在同一区域。当我配置S3端点并允许仅通过端点策略访问特定存储桶时,我看到拒绝对同一区域中其他存储桶的访问。尽管这似乎是直观的,但在校长的IAM政策或遗愿策略中都没有明确的否认。
因此,问题#1 :这是预期的端点行为吗?
现在,如果我尝试访问us-west-1中的存储桶,即使端点策略中没有Allow子句,我也可以访问它,并且在us-west-1中没有其他存在。这意味着端点策略仅适用于与端点同一区域中定义的存储桶。
因此,问题#2 :我的观察正确吗?如果是这样,我该如何防止在当前一个区域(us-east-1(以外的区域中肯定是我帐户外的任意存储桶?
谢谢!
您可以使用IAM角色来限制其他区域中对资源的访问。这里有一个写作
我无法确认终点行为,但您的逻辑似乎很听起来。