我有一个使用Amazon S3创建的静态网站。我设置的唯一权限是通过Amazons教程中提供的存储桶策略:
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "Allow Public Access to All Objects",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::example.com/*"
}
]
}
显然,此策略允许公众查看我想要的存储在我的存储桶中的任何文件。我的问题是,这个政策是否足以阻止其他人上传文件和/或劫持我的网站?我希望公众能够访问存储桶上的任何文件,但我希望成为唯一一个具有列表,上传和删除权限的文件。这是我的存储桶的当前行为,因为我的存储桶策略仅解决了查看权限吗?
答案 0 :(得分:1)
从该文件:
发出请求时,AWS服务会决定是否给定 请求应被允许或拒绝。评估逻辑如下 这些规则:
默认情况下,所有请求都被拒绝。(通常,请求使用 帐户中的资源的帐户凭据始终是 允许的。)
显式允许覆盖此默认值。
显式拒绝会覆盖任何允许。
因此,只要您不明确允许其他访问,您就可以了。我在S3上托管了一个静态站点,我有相同的访问策略。