У меня есть пользователь в моей учетной записи IAM с именем «testuser», у которого есть права администратора, например:
{
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
И затем у меня есть политика в моей корзине S3, которая запрещает этому пользователю доступ, вот так:
{
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "my-account-id:user/testuser"
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::my-bucket-name/*"
}
]
}
Итак, явный запрет в политике корзины S3 должен переопределять разрешение политики IAM, верно? Но когда я вхожу в систему как тестовый пользователь, у меня по-прежнему есть доступ ко всему в этой корзине -. У меня даже есть доступ к изменению или удалению политики корзины для этой корзины (и для всех остальных корзин тоже ). Почему мой явный отказ ничего не делает?