EFS 文件系统策略与 IAM 实例配置文件冲突
0
【以下的问题经过翻译处理】 有一个 EFS 卷,其文件系统策略如下
{
"Version": "2012-10-17",
"Id": "read-only-example-policy02",
"Statement": [
{
"Sid": "efsReadOnlyFS",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<account_id>:role/InstanceProfile"
},
"Action": "elasticfilesystem:ClientMount",
"Resource": "arn:aws:elasticfilesystem:us-east-2:<account_id>:file-system/fs-id"
}
]
}
角色“InstaceProfile”是附加到 EC2 实例的角色。现在,此实例配置文件具有带有“elasticfilesystem:*”的 IAM 策略,该策略授予它对 EFS 的所有访问权限。
现在,即使文件系统策略将其设为只读,我仍然能够挂载 EFS 并将文件写入其中。文件系统策略不应该优先于实例配置文件权限吗?
- 语言
- 中文 (简体)
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 好问题!
在这种情况下,您的文件系统策略是资源策略,实例策略将被视为 IAM 身份策略。对于同一账户中的资源,这些资源被视为逻辑 或。记住策略评估逻辑也很重要。
首先,评估显式拒绝,然后评估显式允许,然后评估隐式拒绝。
显式拒绝 --> 显式允许 --> 隐式拒绝
在这种情况下,您的 EFS 策略是允许读取,因此如果实例策略明确允许写入,则不会被拒绝。如果您希望进一步保护 EFS 卷,则需要对策略本身使用显式拒绝(您可以将此与允许结合使用)。
