如何允许 AWS Textract 访问受保护的 S3 存储桶

【问题标题】:how to allow AWS Textract access to a protected S3 bucket如何允许 AWS Textract 访问受保护的 S3 存储桶
【发布时间】:2021-06-19 16:27:11
【问题描述】:

我有只允许从 VPC 访问的存储桶策略:

{
  "Version": "2012-10-17",
  "Id": "aksdhjfaksdhf",
  "Statement": [
    {
      "Sid": "Access-only-from-a-specific-VPC",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::zzzz",
        "arn:aws:s3:::zzzz/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "aws:SourceVpc": "vpc-xxxx"
        }
      }
    }
    ]
}

我也想允许来自 AWS Textract 的流量到此存储桶。我尝试了各种方法,但由于“明确拒绝”(我需要)的绝对优先级,我无法使其工作。

是否有不同的策略制定或完全不同的方法来限制对此 S3 存储桶的访问仅限于来自 VPC 和来自 Textract 服务的流量?

【问题讨论】:

    标签: amazon-web-services amazon-s3 amazon-textract


    【解决方案1】:

    这是不可能的。

    一般来说,最好避免使用Deny 策略,因为它们会覆盖任何Allow 策略。众所周知,它们很难正确配置。

    一种选择是删除Deny,并非常小心谁被授予Allow 访问存储桶的权限。

    但是,如果这太难了(例如,默认情况下,管理员有权访问所有个存储桶),那么常见的做法是将敏感数据移动到不同 AWS 中的 S3 存储桶帐户,并且只向特定用户授予跨帐户访问权限。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2015-02-24
      • 2022-01-23
      • 2020-12-18
      • 2017-06-13
      • 2020-06-12
      • 1970-01-01
      • 2020-03-26
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode