只需创建限制到特定桶
如访问的自定义IAM组策略...
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:ListAllMyBuckets"],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": "s3:*",
"Resource":
[
"arn:aws:s3:::my.bucket",
"arn:aws:s3:::my.bucket/*"
]
}
]
}
的第一项行动s3:ListAllMyBuckets
允许用户列出所有的桶。没有这一点,他们的S3客户端在用户登录时不会在存储桶列表中显示任何内容。
第二个动作向用户授予名为'my.bucket'的存储桶的全部S3权限。这意味着他们可以自由创建/列出/删除存储桶中的存储桶资源和用户ACL。
授予s3:*访问相当宽松。如果您想要对桶进行更严格的控制,只需查看要授予的相关操作并将其添加为列表即可。
"Action": "s3:Lists3:GetObject, s3:PutObject, s3:DeleteObject"
我建议你创建这个政策作为一个群体(例如my.bucket_User),所以你可以把它分配给谁需要访问这个桶没有任何不必要的copypasta每个用户。
你看过Amazon IAM吗? AWS控制台上有一个链接。您可以以令人难以置信的精度控制权限,并根据需要生成尽可能多的访问密钥,甚至是临时密钥。 –