文章/答案/技术大牛

发布

社区首页 >问答首页 >为什么用户仍然可以从S3桶中删除对象，即使其策略具有未选中的DELETEOBJECT属性？

问为什么用户仍然可以从S3桶中删除对象，即使其策略具有未选中的DELETEOBJECT属性？
EN

Stack Overflow用户

提问于 2018-12-05 07:30:01

回答 1查看 476关注 0票数 0

我已经创建了一个名为Test_User的用户，并为它分配了一个直接策略，该策略包含对所有S3桶的访问级别权限，但只取消检查DELETEOBJECT策略，因为我不希望用户删除桶中的对象。

现在的问题是，Test_User仍然可以在任何桶中删除对象，即使我已经特别取消了写部分中的DELETEOBJECT检查。

为什么？

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutAnalyticsConfiguration",
                "s3:GetObjectVersionTagging",
                "s3:CreateBucket",
                "s3:ReplicateObject",
                "s3:GetObjectAcl",
                "s3:DeleteBucketWebsite",
                "s3:PutLifecycleConfiguration",
                "s3:GetObjectVersionAcl",
                "s3:PutObjectTagging",
                "s3:HeadBucket",
                "s3:DeleteObjectTagging",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketWebsite",
                "s3:PutReplicationConfiguration",
                "s3:DeleteObjectVersionTagging",
                "s3:GetBucketNotification",
                "s3:PutBucketCORS",
                "s3:GetReplicationConfiguration",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:GetObject",
                "s3:PutBucketNotification",
                "s3:PutBucketLogging",
                "s3:GetAnalyticsConfiguration",
                "s3:GetObjectVersionForReplication",
                "s3:GetLifecycleConfiguration",
                "s3:ListBucketByTags",
                "s3:GetInventoryConfiguration",
                "s3:GetBucketTagging",
                "s3:PutAccelerateConfiguration",
                "s3:DeleteObjectVersion",
                "s3:GetBucketLogging",
                "s3:ListBucketVersions",
                "s3:ReplicateTags",
                "s3:RestoreObject",
                "s3:ListBucket",
                "s3:GetAccelerateConfiguration",
                "s3:GetBucketPolicy",
                "s3:PutEncryptionConfiguration",
                "s3:GetEncryptionConfiguration",
                "s3:GetObjectVersionTorrent",
                "s3:AbortMultipartUpload",
                "s3:PutBucketTagging",
                "s3:GetBucketRequestPayment",
                "s3:GetObjectTagging",
                "s3:GetMetricsConfiguration",
                "s3:PutBucketVersioning",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListBucketMultipartUploads",
                "s3:PutMetricsConfiguration",
                "s3:PutObjectVersionTagging",
                "s3:GetBucketVersioning",
                "s3:GetBucketAcl",
                "s3:PutInventoryConfiguration",
                "s3:GetObjectTorrent",
                "s3:GetAccountPublicAccessBlock",
                "s3:PutBucketWebsite",
                "s3:ListAllMyBuckets",
                "s3:PutBucketRequestPayment",
                "s3:GetBucketCORS",
                "s3:GetBucketLocation",
                "s3:ReplicateDelete",
                "s3:GetObjectVersion"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "182.180.97.184"
                }
            }
        }
    ]
}

amazon-s3

aws-lambda

amazon-iam

aws-iam

amazon-web-services

回答 1

Stack Overflow用户

发布于 2018-12-07 12:54:55

允许s3:*然后拒绝S3:删除allowing，拒绝重写任何allow语句如何？

虽然这不是最佳实践，但实际上您应该明确地指出角色，并且只允许它所需的东西，因为默认情况下一切都关闭了。

票数 0

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/53627249

复制

相似问题

问为什么用户仍然可以从S3桶中删除对象，即使其策略具有未选中的DELETEOBJECT属性？
EN

回答 1

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问为什么用户仍然可以从S3桶中删除对象，即使其策略具有未选中的DELETEOBJECT属性？EN

回答 1

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问为什么用户仍然可以从S3桶中删除对象，即使其策略具有未选中的DELETEOBJECT属性？
EN