Statement 1: 公开访问主体
Principal 使用了 `*`,该 Statement 可能允许匿名或未限定身份直接访问 S3 资源。
支持原始 JSON 和 Statement 可视化双向编辑,自动识别公开访问、跨账号 root、通配动作、资源 ARN 作用域不匹配等高风险配置,并提供可直接导出的规范 JSON。
支持直接粘贴 AWS S3 Bucket Policy,解析成功后会同步到右侧可视化编辑器。
可视化编辑器会保留未识别的顶层字段和 Statement 扩展字段,适合在现有策略上继续精修。
若启用了公开读取或跨账号写入,请同时审查 Condition、Bucket Public Access Block 和对象级资源范围。
自动按 Statement 分析公开访问、写权限、通配符动作和资源 ARN 作用域问题。
Principal 使用了 `*`,该 Statement 可能允许匿名或未限定身份直接访问 S3 资源。
公开或跨账号授权未看到 IP、VPC Endpoint、组织 ID 或 HTTPS 限制条件,建议补充防护边界。
例如 `s3:ListBucket` 和 `s3:GetBucketLocation` 应该配合 `arn:aws:s3:::bucket-name`,而不是仅有对象级 `/*` 资源。
发现 `arn:aws:iam::*:root`,意味着任意 AWS 账户都可能获得此权限,风险极高。
当前 Statement 同时具备广泛主体和写入/删除能力,可能导致对象被篡改、删除或投毒。
公开或跨账号授权未看到 IP、VPC Endpoint、组织 ID 或 HTTPS 限制条件,建议补充防护边界。
面向 S3 Bucket Policy 的专业化编辑视图,适合快速审查和补全 Statement。
支持 Principal / NotPrincipal、多种类型和多值 ARN。
每行一个 Action,支持 Action / NotAction。
每行一个 Resource,支持 Resource / NotResource。
留空表示无条件。建议对公开或跨账号授权补充 `aws:SourceIp`、`aws:PrincipalOrgID`、`aws:SourceVpce` 或 `aws:SecureTransport` 限制。
Principal 使用了 `*`,该 Statement 可能允许匿名或未限定身份直接访问 S3 资源。
公开或跨账号授权未看到 IP、VPC Endpoint、组织 ID 或 HTTPS 限制条件,建议补充防护边界。
例如 `s3:ListBucket` 和 `s3:GetBucketLocation` 应该配合 `arn:aws:s3:::bucket-name`,而不是仅有对象级 `/*` 资源。
支持 Principal / NotPrincipal、多种类型和多值 ARN。
每行一个 Action,支持 Action / NotAction。
每行一个 Resource,支持 Resource / NotResource。
留空表示无条件。建议对公开或跨账号授权补充 `aws:SourceIp`、`aws:PrincipalOrgID`、`aws:SourceVpce` 或 `aws:SecureTransport` 限制。
发现 `arn:aws:iam::*:root`,意味着任意 AWS 账户都可能获得此权限,风险极高。
当前 Statement 同时具备广泛主体和写入/删除能力,可能导致对象被篡改、删除或投毒。
公开或跨账号授权未看到 IP、VPC Endpoint、组织 ID 或 HTTPS 限制条件,建议补充防护边界。
还没有收藏的工具
缓存: hit 0 / miss 0
缓存: hit 0 / miss 0
暂无记录
185+
在线工具
10K+
月访问量
99.9%
可用性