Skip to main content

Negar Acessos com Policies

Negar Acesso Geral a um Bucket

Este exemplo ilustra como negar a ação s3:GetObject para todos os usuários em meu-bucket, garantindo que o conteúdo do bucket não possa ser acessado sem autorização. Essa configuração é útil para proteger dados sensíveis.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": "meu-bucket/*"
        }
    ]
}

Negar Acesso a uma Pasta para Usuários Não Autorizados

Este exemplo demonstra como negar a ação s3:PutObject para usuários que não estão identificados pelo MGC, restringindo o acesso à pasta imagens dentro de meu-bucket. Essa configuração é útil para manter o controle sobre quem pode adicionar novos arquivos.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "MGC": ["TENANT-ID"]
            },
            "Action": "s3:PutObject",
            "Resource": "meu-bucket/imagens/*"
        }
    ]
}

Negar Acesso a um Bucket para Usuários Não Autorizados

Este exemplo ilustra como negar a ação s3:GetObject para qualquer usuário que não esteja identificado pelo MGC em meu-bucket. Essa abordagem é ideal para proteger dados sensíveis, garantindo que apenas usuários autorizados possam acessar os recursos do bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "MGC": ["TENANT-ID"]
            },
            "Action": "s3:GetObject",
            "Resource": "meu-bucket/*"
        }
    ]
}

Negar Acesso a Todos para Excluir Objetos

Esse exemplo ilustra como negar a ação s3:DeleteObject para todos os usuários, garantindo que ninguém possa excluir objetos contidos em meu-bucket. Essa configuração ajuda a proteger os dados de exclusões acidentais ou maliciosas.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:DeleteObject",
            "Resource": "meu-bucket/*"
        }
    ]
}

Negar Várias Ações para Diferentes Principais em um Bucket

Nesta seção, você aprenderá como configurar permissões de acesso a um bucket de forma a negar diferentes ações para diferentes entidades (principais). Utilizando uma política JSON, você poderá especificar quais usuários ou grupos têm suas ações restritas em relação a obter, adicionar ou deletar objetos, além de listar o conteúdo do bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "MGC": [
                    "TENANT-ID",
                    "TENANT-ID"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject"
            ],
            "Resource": "meu-bucket/*"
        },
        {
            "Effect": "Deny",
            "Principal": {
                "MGC": ["TENANT-ID"]
            },
            "Action": "s3:ListBucket",
            "Resource": "meu-bucket"
        }
    ]
}

Negar Acesso a Todos, Exceto a um Usuário Específico

Esse exemplo demonstra como usar duas declarações: a primeira nega explicitamente o acesso a todos os usuários para a ação s3:GetObject em meu-bucket, e a segunda permite que um usuário específico (definido pelo MGC) realize a mesma ação. Essa abordagem é útil para proteger dados sensíveis e garantir que apenas usuários autorizados tenham acesso.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": "meu-bucket/*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "MGC": ["TENANT-ID"]
            },
            "Action": "s3:GetObject",
            "Resource": "meu-bucket/*"
        }
    ]
}