那些遇到过的问题

如何在AWS策略中提供多个StringNotEquals条件?

ikh*_*ikh 9 amazon-s3 amazon-web-services amazon-iam

我正在尝试编写AWS S3存储桶策略,拒绝所有流量,除非它来自两个VPC.我正在尝试编写的策略类似于下面的策略,两者之间具有逻辑AND StringNotEquals(除了它是无效的策略):

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Allow-access-only-from-two-VPCs",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::my-bucket",
                    "arn:aws:s3:::my-bucket/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:sourceVpc": "vpc-111bbccc"
         },
         "StringNotEquals": {
           "aws:sourceVpc": "vpc-111bbddd"
         }
       },
       "Principal": "*"
     }
   ]
}
Run Code Online (Sandbox Code Playgroud)

如果我用这个:

"StringNotEquals": {
       "aws:sourceVpc": ["vpc-111bbccc", "vpc-111bbddd"]
     }
Run Code Online (Sandbox Code Playgroud)

然后至少有一个字符串比较返回true,并且无法从任何地方访问S3存储桶.

hel*_*loV 8

以前从未尝试过此方法,但是以下方法应该可行。来自:使用IAM策略条件进行细粒度的访问控制

    "Condition": {
        "ForAllValues:StringNotEquals": {
            "aws:sourceVpc": [
                "vpc-111bbccc",
                "vpc-111bbddd"
            ]
        },
Run Code Online (Sandbox Code Playgroud)

wkl*_*wkl 7

原始 JSON 的问题:

"Condition": {
    "StringNotEquals": {
        "aws:sourceVpc": "vpc-111bbccc"
    },
    "StringNotEquals": {
        "aws:sourceVpc": "vpc-111bbddd"
    }
}
Run Code Online (Sandbox Code Playgroud)

您不能有名为 的重复键StringNotEquals

但是有几种方法可以解决您的问题。

翻转条件并指定Allow而不是Deny权限

不言自明:使用Allow权限而不是Deny然后StringEquals与数组一起使用。所有值都将作为OR条件。

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Allow-access-only-from-two-VPCs",
       "Action": "s3:*",
       "Effect": "Allow",
       "Resource": ["arn:aws:s3:::my-bucket",
                    "arn:aws:s3:::my-bucket/*"],
       "Condition": {
         "StringEquals": {
           "aws:sourceVpc": ["vpc-111bbccc", "vpc-111bbddd"]
         }
       },
       "Principal": "*"
     }
   ]
}
Run Code Online (Sandbox Code Playgroud)

使用集合运算符

IAM 策略允许使用ForAnyValuesForAllValues,这使您可以测试Condition.

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Deny-access-except-from-two-VPCs",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::my-bucket",
                    "arn:aws:s3:::my-bucket/*"],
       "Condition": {
         "ForAllValues:StringNotEquals": {
           "aws:sourceVpc": ["vpc-111bbccc", "vpc-111bbddd"]
         }
       },
       "Principal": "*"
     }
   ]
}
Run Code Online (Sandbox Code Playgroud)

使用的黑客组合StringNotEqualsStringNotEqualsIgnoreCase

我相当肯定这是有效的,但它只会将您的条件限制为 2 个 VPC。

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Deny-access-except-from-two-VPCs",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::my-bucket",
                    "arn:aws:s3:::my-bucket/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:sourceVpc": ["vpc-111bbccc"]
         },
         "StringNotEqualsIgnoreCase": {
           "aws:sourceVpc": ["vpc-111ddeee"]
         }
       },
       "Principal": "*"
     }
   ]
}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

3527 次

最近记录:

8 年,3 月 前
相关归档
Safari的Angular和cloudfront 17
如何在EC2上安装带有yum的pip 12
如何将API网关与SQS集成 11
将100万个图像文件移动到Amazon S3 8
限制对使用API​​网关作为代理的S3静态网站的访问 6
通过签名 url 将图像上传到 AWS-S3 时图像损坏 6
在 AWS ElastiCache Redis 集群上启用集群模式 5
使用PHP AWS SDK在file_put_contents上设置ACL 4
无需访问权限和Java密钥即可上传AWS S3 4
EC2上的自动扩展和数据复制 0
难疑归档
你如何获得JavaScript的时间戳? 3844
电话和申请有什么区别? 3012
如何在Python中获取列表中的元素数量? 1846
<button>与<input type ="button"/>.哪个用? 1588
对JavaScript对象数组进行排序 1233
如何获得最近提交的Git分支列表? 1197
如何使用INER JOIN与SQL Server删除? 1181
在Python中检查类型的规范方法是什么? 1171
如何在悬停而不是单击时使Twitter Bootstrap菜单下拉列表 1146
如何在Vim中移动到行尾? 1140