本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS:拒絕存取您帳戶外部的 Amazon S3 資源,但 AWS Data Exchange
此範例示範如何建立身分型政策,拒絕存取 AWS 中不屬於您帳戶的所有資源,但正常操作 AWS Data Exchange 所需的資源除外。若要使用此政策,請將範例政策中的斜體預留位置文字取代為您自己的資訊。然後,遵循建立政策或編輯政策中的指示進行操作。
您可以建立類似的政策來限制對組織或組織單位內資源的存取,同時使用條件索引鍵 aws:ResourceOrgPaths和 來說明 AWS Data Exchange 擁有的資源aws:ResourceOrgID。
如果您在 AWS Data Exchange 環境中使用 ,服務會建立資源並與之互動,例如服務帳戶擁有的 Amazon S3 儲存貯體。例如, 代表叫用 API 的 IAM 主體 (使用者或角色),將請求 AWS Data Exchange 傳送至 AWS Data Exchange 服務擁有的 Amazon S3 儲存貯體。 AWS Data Exchange APIs 在這種情況下,在政策aws:ResourceOrgID中使用 aws:ResourceAccount、 aws:ResourceOrgPaths或 ,而不考慮 AWS Data Exchange 擁有的資源, 會拒絕存取服務帳戶擁有的儲存貯體。
-
陳述式
DenyAllAwsResourcesOutsideAccountExceptS3會搭配使用NotAction元素與拒絕效果,明確拒絕存取陳述式中未列出的且不屬於所列帳戶的每個動作。NotAction元素表示此陳述式的例外狀況。這些動作是此陳述式的例外狀況,因為如果對 建立的資源執行動作 AWS Data Exchange,政策會拒絕這些動作。 -
DenyAllS3ResoucesOutsideAccountExceptDataExchange陳述式會結合使用ResourceAccount和CalledVia條件,拒絕存取先前的陳述式中排除的 Amazon S3 動作。如果資源不屬於列出的帳戶並且如果呼叫服務不是 AWS Data Exchange,陳述式會拒絕執行動作。如果資源屬於列出的帳戶,或者列出的服務主體dataexchange.amazonaws.com執行操作,則陳述式不會拒絕執行動作。
重要
此政策不允許任何動作。它使用 Deny 效果,明確拒絕存取陳述式中列出的不屬於所列帳戶的所有資源。將此政策與允許存取特定資源的其他政策結合使用。
以下範例示範如何設定政策,以允許存取所需的 Amazon S3 儲存貯體。
