0
我准备了一个云模板,该模板创建AWS::IAM::Role
和arn:aws:iam::aws:policy/AmazonS3FullAccess
策略。如何在云模板中为存储桶编写策略
模板成功运行后,我执行一个python脚本来创建两个前缀为foobar-bucket1
和foobar-bucket2
的存储桶。
目前,这是我的模板上面部分的外观:
Resources:
MyRole:
Type: AWS::IAM::Role
Properties:
AssumeRolePolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Principal:
Service:
- ssm.amazonaws.com
- ec2.amazonaws.com
Action: sts:AssumeRole
ManagedPolicyArns:
- arn:aws:iam::aws:policy/AmazonS3FullAccess
Path: "/"
问题
我想知道是否有必要通过云模板创建的IAM::Role
有AmazonS3FullAccess
为了创造两个桶?
是否有可能对我来说,给角色ONLY权限创建桶,然后FULLS3许可在桶ONLY前缀foobar-bucket1
和foobar-bucket2
。
我喜欢选项2最好。如果我选择这个选项,我应该从我的模板中删除' - arn:aws:iam :: aws:policy/AmazonS3FullAccess',而不是将它替换为您发布的选项2的片段。 – Anthony
另外,对于选项2 ,首先我需要创建桶的角色呢? – Anthony
是的,您应该使用自定义策略来替换托管策略,该策略可以引用您的名称前缀。在创建角色/策略时,存储桶不一定存在。 –