我有一个Cognito池/联合身份设置,用户通过AWS Amplify接收临时IAM凭证。这些用户可以从几个S3存储桶访问getObject,即使:
如果我创建一个新存储桶并将getObject指向一个包含的对象,则用户将获得403 Forbidden,这表明某个特定于存储桶的策略正在授予访问权限。问题是我们有很多策略和角色,很多用于生产,所以我不能简单地进行开/关测试以缩小范围。
有没有办法以某种方式跟踪哪些策略/角色为特定的S3 getObject请求提供访问权限?
编辑我已经为与Cognito组关联的角色运行IAM策略模拟器,并且对相关对象给出了拒绝。
我正在尝试正确阻止访问的对象没有为它们设置权限。水桶有:
更新我已将cloudtrail日志记录添加到我的存储桶中。对于我通过控制台从存储桶执行的任何下载,都会记录eventname ='GetObject'的事件,但不会通过AWS javascript SDK记录s3.getObject
下载的任何事件。如何记录这些事件?
使用CloudTrail to log Amazon S3 API Calls。
在CloudTrail for S3操作中记录的事件包括有关请求的操作,操作的日期和时间,请求参数以及user identity的信息,例如: