我正在使用' standard-prefix-{variable}'在程序中创建S3存储桶。尝试创建IAM策略时,用户可以更新,创建,删除帐户中的存储桶,但前提是存储桶名称包含“ standard-prefix”。IE,我不想允许修改帐户中的其他存储桶。给定特定的存储桶名称,我发现了许多方法来限制对存储桶中资源的访问,但是在更改存储桶名称时,没有任何方法可以限制访问。
类似的东西(似乎不起作用):
"Resource": "arn:aws:s3:::standard-prefix-*"
AWS Docs中的示例:
基于用户名的动态名称是我找到的最接近的名称。但对于存储区名称的可变部分,我需要使用通配符:
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "sqs:*",
"Resource": "arn:aws:sqs:us-west-2:*:${aws:username}-queue"
}]
}
具有指定存储桶名称的项目:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": ["s3:ListBucket"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::mybucket"],
"Condition": {"StringLike": {"s3:prefix": ["${aws:username}/*"]}}
},
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::mybucket/${aws:username}/*"]
}
]
}
这是最终生效的政策。当创建桶,他们得到一个名称,如standard_prefix-20150101,standard_prefix-20150515等这个IAM政策,然后可以做任何对这些分组,但该帐户不修改其他桶内用户。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "One",
"Effect": "Allow",
"Action": [
"*"
],
"Resource": [
"arn:aws:s3:::standard_prefix-*"
]
},
{
"Sid": "Two",
"Effect": "Allow",
"Action": [
"s3:List*"
],
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句