AWSIAM中是否可以在显式拒绝中添加异常?
创始人
2024-09-25 21:33:43
0

在AWS IAM中,显式拒绝(explicit deny)通常被用来覆盖其他权限策略或者明确禁止某些操作。默认情况下,如果用户拥有一个允许操作的权限策略,同时也有一个显式拒绝的权限策略,则该操作将被拒绝。因此,把异常加入到显式拒绝中是不可能的。

不过,如果您需要给某一个用户或组添加一个特定的权限,而该权限被显式拒绝,那么您可以使用IAM Policy的效应(Effect)属性。

例如,以下Policy可以允许用户myuser访问S3中的所有Bucket,但是排除名为mybucket的Bucket。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Effect": "Deny",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::mybucket"
    },
    {
      "Effect": "Allow",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::mybucket/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "aws:PrincipalArn": [
            "arn:aws:iam::123456789012:user/myuser"
          ]
        }
      }
    }
  ]
}

在此Policy中,第一个Statement是允许操作S3中的所有Bucket的权限,第二个Statement是拒绝操作特定Bucket的权限。第三个Statement则是有条件允许操作名为mybucket的Bucket,但只有用户myuser拥有该权限。这样,myuser即使被显式拒绝

相关内容

热门资讯

银河麒麟V10SP1高级服务器... 银河麒麟高级服务器操作系统简介: 银河麒麟高级服务器操作系统V10是针对企业级关键业务...
【NI Multisim 14...   目录 序言 一、工具栏 🍊1.“标准”工具栏 🍊 2.视图工具...
不能访问光猫的的管理页面 光猫是现代家庭宽带网络的重要组成部分,它可以提供高速稳定的网络连接。但是,有时候我们会遇到不能访问光...
AWSECS:访问外部网络时出... 如果您在AWS ECS中部署了应用程序,并且该应用程序需要访问外部网络,但是无法正常访问,可能是因为...
Android|无法访问或保存... 这个问题可能是由于权限设置不正确导致的。您需要在应用程序清单文件中添加以下代码来请求适当的权限:此外...
北信源内网安全管理卸载 北信源内网安全管理是一款网络安全管理软件,主要用于保护内网安全。在日常使用过程中,卸载该软件是一种常...
AWSElasticBeans... 在Dockerfile中手动配置nginx反向代理。例如,在Dockerfile中添加以下代码:FR...
AsusVivobook无法开... 首先,我们可以尝试重置BIOS(Basic Input/Output System)来解决这个问题。...
ASM贪吃蛇游戏-解决错误的问... 要解决ASM贪吃蛇游戏中的错误问题,你可以按照以下步骤进行:首先,确定错误的具体表现和问题所在。在贪...
月入8000+的steam搬砖... 大家好,我是阿阳 今天要给大家介绍的是 steam 游戏搬砖项目,目前...