注册
登录
策略引擎
存储桶策略和签名网址之间是否存在冲突?
返回
存储桶策略和签名网址之间是否存在冲突?
作者:
威斯特
发布时间:
2024-11-09 02:40:46 (3天前)
转自:
<div class =“excerpt”> 我的存储桶中的某些文件设置为公共读取(ACL)。所以我读了一个设置桶的地方 <span class =“result-highlight”> 政策 </跨度> 可以自动将存储桶中的所有文件设置为私有。 bucketname是 实际存储桶名称的占位符。我的水桶 <span class =“result-highlight”> 政策 </跨度> 是: { “版本”:“2008-10-17”, “Id”:“Policy1331182170360”, “声明”:[ { “Sid”:“Stmt1331182162671”, “效果”:“拒绝 </DIV>
收藏
举报
2 条回复
0#
回复此人
如果
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 这归结为身份验证(你是谁)与授权不同(你可以做什么)。签名URL只是一种将自己作为特定AWS用户进行身份验证的方式(而不仅仅是匿名),它不会授予任何特殊授权。 </p> <P> 一旦身份验证发生并且亚马逊知道您是谁,它仍然需要决定是否允许您执行请求的操作。您的存储桶策略表明没有人可以访问文件,因此请求被拒绝 <a href="http://docs.amazonwebservices.com/AmazonS3/latest/dev/AccessPolicyLanguage_EvaluationLogic.html" rel="noreferrer"> 请参阅政策文档 </A> 为什么你的存储桶策略评估这种方式 </p> <P> 如果您的策略说您的用户可以访问文件但是其他任何人都无法访问您的签名网址(这基本上是私有方式,当您执行单独的文件权限时) </p> <P> 如果您在策略中添加一个语句 </p> <pre> <code> { "Sid":"AddSpecific", "Effect":"Allow", "Principal": { "AWS": ["1234-5678-9012"] }, "Action":["Action": "s3:GetObject"], "Resource":["arn:aws:s3:::bucket/*"] } </code> </pre> <P> 然后你应该能够使用你签名的网址(显然用你的aws账号替换1234-5678-9012。如果你使用的是IAM,那么网络控制台的iam位有这些用户的标识符) </p> </DIV>
编辑
登录
后才能参与评论
