我在Amazon S3中有一个名为“ data1”的存储桶。
当我使用Cyberduck连接到S3时,我希望用户只能访问“ data1”存储桶,而不能访问其他存储桶。
我还设置了一个名为data1的新IAM用户,并将“ AmazonS3FullAccess”策略附加到该用户的权限上-但这提供了对所有存储桶的访问权限-这正是您所期望的。
我想我需要为此设置另一个策略-但是我该怎么做?
首先找到用户原则。这些可以通过查看此命令输出的Arn字段来找到
aws iam list-users
例如
{
"Users": [
{
"UserName": "eric",
"Path": "/",
"CreateDate": "2016-07-12T09:08:21Z",
"UserId": "AIDAJXPI4SWK7X7PY4RX2",
"Arn": "arn:aws:iam::930517348925:user/eric"
},
{
"UserName": "bambi",
"Path": "/",
"CreateDate": "2015-07-15T11:07:16Z",
"UserId": "AIDAJ2LEXFRXJI5AKUU7W",
"Arn": "arn:aws:iam::930517348725:user/bambi"
}
]
}
然后设置一个S3存储桶策略。这些适用于存储桶,并按存储桶设置。针对每个IAM实体设置常规IAM策略,并将其附加到IAM实体(例如用户)。您已经有IAM策略。对于此要求,需要S3策略。
只是要强调-S3策略适用于存储桶并“附加”到S3,IAM策略适用于IAM并与IAM对象相关联。当IAM实体尝试使用S3存储桶时,S3策略和IAM策略都可以应用。参见http://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies.html
一旦知道了原理的ARN,就可以像这样添加S3策略
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AddPerm",
"Effect":"Allow",
"Principal": "arn:aws:iam::930517348725:user/bambi",
"Action":["s3:GetObject"],
"Resource":["arn:aws:s3:::examplebucket/*"]
},
{
"Sid":"block",
"Effect":"Deny",
"Principal": "arn:aws:iam::930517348725:user/bambi",
"Action":["s3:*"],
"Resource":["arn:aws:s3:::*"]
}
]
}
我还没有测试过,但这是一般的想法。抱歉,示例中的原理名称和存储桶名称均未使用“ data1”,但这太令人困惑了.. :)
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句