by shigemk2

当面は技術的なことしか書かない

memo: IAM policy element reference/not resource

memo: IAM policy element reference/not resource

NotResource は、指定されたリソースリスト以外のすべてを明示的に照合する高度なポリシー要素

例によってホワイトリストでHRBucket/Payroll以外への操作を全て拒否するサンプル。

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "s3:*",
    "NotResource": [
      "arn:aws:s3:::HRBucket/Payroll",
      "arn:aws:s3:::HRBucket/Payroll/*"
    ]
  }
}