У меня есть пользователь в моей учетной записи IAM с именем "testuser" с правами администратора, например:
{
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
И затем у меня есть политика в моем ведре S3, которая запрещает этому пользователю доступ, например:
{
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "my-account-id:user/testuser"
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::my-bucket-name/*"
}
]
}
Итак, явное запрещение в политике корзины S3 должно переопределить разрешение из политики IAM, верно? Но когда я вхожу в систему как тестовый пользователь, у меня по-прежнему есть доступ ко всему в этом сегменте - у меня даже есть доступ для изменения или удаления политики сегмента для этого сегмента (и всех остальных сегментов тоже). Почему мое явное отрицание ничего не делает?