添加拒绝策略后无法 update/delete 以管理员角色存储策略
Not able to update/delete Bucket policy with admin role after adding a Deny policy
我使用 DevUser 角色登录到 aws 控制台并更新了存储桶策略,如下所示:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Principal": "*",
"Effect": "Deny",
"Action": "*",
"Resource": "arn:aws:s3:::bucketName"
}
]
}
执行此操作后,我无法按预期列出存储桶权限或查看存储桶下的任何内容,现在我想恢复此更改,但我无法使用 DevUser 或 AdminUser 角色。我还尝试使用 cli 删除存储桶策略但没有成功:
aws s3api delete-bucket-policy --bucket bucketName
错误:
An error occurred (AccessDenied) when calling the DeleteBucketPolicy operation: Access Denied
如何恢复拒绝所有更改?
您(用户或角色),普通用户甚至管理员用户都无法恢复该更改。
只有该帐户的根用户 才能删除删除存储桶策略。如果您无权访问这些根用户凭据,因为您不拥有该帐户,但它是例如由某些 IT 部门或其他同事管理,您需要让他们为您删除存储桶策略。
见https://aws.amazon.com/premiumsupport/knowledge-center/s3-accidentally-denied-access/
下次您需要记得检查并小心不要将自己锁在桶外。存储桶策略完全符合您的要求:它拒绝 任何 访问,包括您自己的访问。 (root 用户是唯一的例外,不能被拒绝访问)
我使用 DevUser 角色登录到 aws 控制台并更新了存储桶策略,如下所示:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Principal": "*",
"Effect": "Deny",
"Action": "*",
"Resource": "arn:aws:s3:::bucketName"
}
]
}
执行此操作后,我无法按预期列出存储桶权限或查看存储桶下的任何内容,现在我想恢复此更改,但我无法使用 DevUser 或 AdminUser 角色。我还尝试使用 cli 删除存储桶策略但没有成功:
aws s3api delete-bucket-policy --bucket bucketName
错误:
An error occurred (AccessDenied) when calling the DeleteBucketPolicy operation: Access Denied
如何恢复拒绝所有更改?
您(用户或角色),普通用户甚至管理员用户都无法恢复该更改。
只有该帐户的根用户 才能删除删除存储桶策略。如果您无权访问这些根用户凭据,因为您不拥有该帐户,但它是例如由某些 IT 部门或其他同事管理,您需要让他们为您删除存储桶策略。
见https://aws.amazon.com/premiumsupport/knowledge-center/s3-accidentally-denied-access/
下次您需要记得检查并小心不要将自己锁在桶外。存储桶策略完全符合您的要求:它拒绝 任何 访问,包括您自己的访问。 (root 用户是唯一的例外,不能被拒绝访问)