Estoy desarrollando una aplicación web y disponemos de la siguiente ACL asignado a la cuenta de AWS que utiliza para acceder a sus datos:Amazon S3 ACL para sólo lectura y de escritura única de acceso
{
"Statement": [
{
"Sid": "xxxxxxxxx", // don't know if this is supposed to be confidential
"Action": [
"s3:*"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::cdn.crayze.com/*"
]
}
]
}
Sin embargo, me Nos gustaría hacer esto un poco más restrictivo para que si nuestras credenciales de AWS alguna vez se vieran comprometidas, un atacante no pudiera destruir ningún dato.
De la documentación, parece que quiero permitir solo las siguientes acciones: s3:GetObject
y s3:PutObject
, pero específicamente quiero que la cuenta solo pueda crear objetos que ya no existen, es decir, una solicitud PUT en un el objeto existente debe ser denegado. es posible?
¡No sabía sobre las etiquetas de idioma! ¿Dónde están los mencionados? –
Creo que la razón por la que no es compatible con esto es porque S3 es una especie de coherencia eventual, por lo que no existe una semántica autoritativa de "el objeto no existe". – jberryman