Bucket Policy разрешает доступ для записи, несмотря на наличие в политике только getObject

Я работаю над приложением Django и загружаю файлы через приложение. Я правильно подключил свои учетные данные, используя пакеты django-storages и boto3, и могу загрузить файл через приложение.

Ведро является принудительным владением файлом, и моя политика ведра должна быть только чтение, но разрешать загрузку файла:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PublicReadGetObject",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::bucket-name/*"
        }
    ]
}

Я являюсь пользователем IAM с политикой AdministratorAccess, но считаю, что политики S3 имеют самые ограничительные разрешения из двух.

Я дважды проверил, что работаю с правильной политикой ведра.

Позволяет ли GetObject также загружать файлы? или что-то...

Как я могу быть уверен, что никто в Интернете не сможет изменить мои файлы?

Дело в том, что политика ведра только дополнительно ограничивает, когда есть набор правил? Поскольку я явно не запрещаю доступ на запись в политике, мой пользователь IAM может добавлять файлы, но никто не может?

Caleb 23.04.2022 05:54
3 метода стилизации элементов HTML
3 метода стилизации элементов HTML
Когда дело доходит до применения какого-либо стиля к нашему HTML, существует три подхода: встроенный, внутренний и внешний. Предпочтительным обычно...
Формы c голосовым вводом в React с помощью Speechly
Формы c голосовым вводом в React с помощью Speechly
Пытались ли вы когда-нибудь заполнить веб-форму в области электронной коммерции, которая требует много кликов и выбора? Вас попросят заполнить дату,...
Стилизация и валидация html-формы без использования JavaScript (только HTML/CSS)
Стилизация и валидация html-формы без использования JavaScript (только HTML/CSS)
Будучи разработчиком веб-приложений, легко впасть в заблуждение, считая, что приложение без JavaScript не имеет права на жизнь. Нам становится удобно...
Flatpickr: простой модуль календаря для вашего приложения на React
Flatpickr: простой модуль календаря для вашего приложения на React
Если вы ищете пакет для быстрой интеграции календаря с выбором даты в ваше приложения, то библиотека Flatpickr отлично справится с этой задачей....
В чем разница между Promise и Observable?
В чем разница между Promise и Observable?
Разберитесь в этом вопросе, и вы значительно повысите уровень своей компетенции.
Что такое cURL в PHP? Встроенные функции и пример GET запроса
Что такое cURL в PHP? Встроенные функции и пример GET запроса
Клиент для URL-адресов, cURL, позволяет взаимодействовать с множеством различных серверов по множеству различных протоколов с синтаксисом URL.
1
1
23
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

but believed S3 policies to go with the most restrictive permission of the two

К сожалению, это так не работает. Разрешения Allow являются кумулятивными, поэтому ваш пользователь IAM может писать в корзину S3 независимо от того, что сказано в политике корзины.

Единственный способ изменить это — добавить явный отказ для записи в политику корзины. Это потому, что явный Deny «всегда побеждает» любой Allow.

Другие вопросы по теме