如何允许 AWS Textract 访问受保护的 S3 存储桶
how to allow AWS Textract access to a protected S3 bucket
我有只允许从 VPC 访问的存储桶策略:
{
"Version": "2012-10-17",
"Id": "aksdhjfaksdhf",
"Statement": [
{
"Sid": "Access-only-from-a-specific-VPC",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::zzzz",
"arn:aws:s3:::zzzz/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-xxxx"
}
}
}
]
}
我也想允许来自 AWS Textract 的流量进入此存储桶。我尝试了各种方法,但由于 'explicit deny' 的绝对优先级(我需要),我无法使其工作。
是否有不同的策略制定或完全不同的方法来限制访问此 S3 存储桶以仅来自 VPC 和来自 Textract 服务的流量?
这是不可能的。
一般来说,最好避免使用 Deny 策略,因为它们会覆盖任何 Allow 策略。众所周知,它们很难正确配置。
一个选择是删除 Deny 并非常小心授予谁 Allow 访问存储桶的权限。
但是,如果这太难了(例如,默认情况下管理员可以访问 所有 个存储桶),那么通常的做法是 将敏感数据移动到不同 AWS 账户中的 S3 存储桶,并且只向特定用户授予跨账户访问权限。
我有只允许从 VPC 访问的存储桶策略:
{
"Version": "2012-10-17",
"Id": "aksdhjfaksdhf",
"Statement": [
{
"Sid": "Access-only-from-a-specific-VPC",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::zzzz",
"arn:aws:s3:::zzzz/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-xxxx"
}
}
}
]
}
我也想允许来自 AWS Textract 的流量进入此存储桶。我尝试了各种方法,但由于 'explicit deny' 的绝对优先级(我需要),我无法使其工作。
是否有不同的策略制定或完全不同的方法来限制访问此 S3 存储桶以仅来自 VPC 和来自 Textract 服务的流量?
这是不可能的。
一般来说,最好避免使用 Deny 策略,因为它们会覆盖任何 Allow 策略。众所周知,它们很难正确配置。
一个选择是删除 Deny 并非常小心授予谁 Allow 访问存储桶的权限。
但是,如果这太难了(例如,默认情况下管理员可以访问 所有 个存储桶),那么通常的做法是 将敏感数据移动到不同 AWS 账户中的 S3 存储桶,并且只向特定用户授予跨账户访问权限。