Iam 权限与资源权限

Question

在 aws 中，可以使用权限授予 IAm 用户对 s3 存储桶的读取权限。同样，可以将策略（权限）附加到 s3 存储桶，以允许某些用户访问该 s3 存储桶。我的问题是为什么有两种方法可以做到这一点。你应该定义两者吗？如果允许用户 1 访问 s3 文件夹但资源级别的 IAM 策略允许用户 2 访问它会怎样。谁在这种情况下获胜？评估顺序是什么？

Answer 1

通常：

• 要向特定用户授予 Amazon S3 访问权限，最好将策略放在 IAM 用户（或 IAM 组容器 IAM 用户）上。
• 要授予公共访问权限，请在允许匿名访问的存储桶上放置存储桶策略。

是的，可以通过存储桶策略授予个人访问权限，但如果以这种方式添加多个用户，这可能会变得非常混乱。

只要使用这些方法中的任一，用户将被允许访问存储桶。但是，任何Deny 策略将始终覆盖来自任一来源的Allow 策略。