作为入门新客户的过程的一部分,我需要创建一个S3存储桶,创建一个新用户,并授予该用户获取,列出和放入该存储桶的权限。我想自动化这个过程,这意味着我需要创建一个“供应”策略,该策略仅授予服务执行这些操作所需的权限。
在我的配置策略中使用String Conditions来要求用户和存储桶的名称以特定前缀开头似乎非常简单。但是,PutUserPolicy似乎只是将文本blob作为其参数。我宁愿将我的配置策略限制为只能创建授予我需要的特定权限的策略;理想情况下,只能授予名称与模式匹配的用户获取,列出和放置名称与模式匹配的存储桶的能力。 (如果此政策以某种方式被劫持,我宁愿限制其创建用户并授予其所有权限的能力。)
有没有办法获得这种细粒度控制?
答案 0 :(得分:3)
没有。 IAM没有涉及这么多细节。您不能说“只允许用户使用这些权限创建策略”。
您需要以不会劫持此政策的方式设计您的系统。创建模板策略,并确保新用户无法在输入中注入任何内容。
另外,在另一个说明中,使用一个存储桶并为每个用户提供该存储桶内的文件夹将被视为更好的做法。您仍然可以控制存储桶中密钥的权限。有关详情,请参阅blog。