我正在嘗試使用策略存盤桶拒絕從 ec2 實體(其中有 SSH)上傳到 s3 存盤桶。我的 ec2 使用以下命令從 CLI 上傳檔案: "aws s3 cp text.txt s3://bucket-name"。適當的存盤桶策略在 json 中如下:
{
"Version": "2012-10-17",
"Id": "Policy1668560706336",
"Statement": [
{
"Sid": "Stmt1668560704089",
"Effect": "Deny",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::bucket-name/*"
}
]
}
任何想法為什么這不能拒絕我的 ec2 實體上傳到 s3 存盤桶?(存盤桶和 ec2 實體在同一帳戶的同一區域中)。
提前致謝。
我期待存盤桶策略拒絕從 ec2 實體上傳。
uj5u.com熱心網友回復:
Bucket Policy 表示:“當請求來自 Amazon EC2 服務時,拒絕所有 S3 訪問此存盤桶”。
但是,當您aws s3 cp在 Amazon EC2 實體上運行命令時,請求來自 EC2 實體。它不是來自“EC2 服務”,這是提供和管理 EC2 實體的 AWS 服務。
最好的方法是查看與該 EC2 實體關聯的IAM 角色。為了能夠訪問 S3,IAM 角色必須獲得使用 S3 的權限。限制 IAM 角色中的權限比使用存盤桶策略更合適。
如果實體當前能夠使用 AWS CLI 上傳到 S3,則 IAM 角色已獲得足夠的權限來執行該上傳。您應該修改 IAM 角色,使其不具有此類權限。
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/535941.html