0
是否有示例IAM策略,授予访问单个IAM用户的权限,让他们创建和管理自己的S3存储桶?S3 - 授予访问权限以创建存储区
是否有示例IAM策略,授予访问单个IAM用户的权限,让他们创建和管理自己的S3存储桶?S3 - 授予访问权限以创建存储区
亚马逊S3并没有真正拥有一个人“自己”的概念。 AWS账户拥有的存储桶为,不是特定用户。
你可以把一个政策上的IAM用户,使他们的权限为特定桶:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "s3:*",
"Effect": "Allow",
"Resource": ["arn:aws:s3:::my-bucket"]
},
{
"Action": "s3:*",
"Effect": "Allow",
"Resource": ["arn:aws:s3:::my-bucket/*"]
}
]
}
然而,这不授予权限创建一个水桶。为此,他们需要"s3:createBucket"
的许可,但请注意,您需要将该存储桶的名称编码到新策略中。
或者,您可以使用IAM Policy Variables创建一个通用规则,允许用户在共享存储区内访问其自己的子目录(前缀)。
如果存储桶名称中也包含用户名,您甚至可以使用策略变量来授予存储桶权限。这开始变得有点棘手。
如果您打算允许单个IAM用户创建存储桶并完全管理它们,那么您可能需要s3:*。但是,如果您只是想为单个IAM用户提供隔离的S3存储,请参阅http://docs.aws.amazon.com/AmazonS3/latest/dev/example-policies-s3.html#iam-policy-ex1 。 – jarmod