是否有一个示例IAM策略授予对单个IAM用户的访问权限,以便让他们创建和管理自己的S3存储桶?
答案 0 :(得分:1)
亚马逊S3并没有真正拥有一个人的概念?#34;拥有"桶。存储桶
您可以在IAM用户上设置一项政策,为其提供特定广告资源的权限:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "s3:*",
"Effect": "Allow",
"Resource": ["arn:aws:s3:::my-bucket"]
},
{
"Action": "s3:*",
"Effect": "Allow",
"Resource": ["arn:aws:s3:::my-bucket/*"]
}
]
}
但是,这不授予创建存储桶的权限。为此,他们需要"s3:createBucket"的许可,但请注意,您需要将该广告素材的名称编码为新政策。
或者,您可以使用IAM Policy Variables创建一个通用规则,允许用户在共享存储区中访问自己的子目录(前缀) 。
如果存储桶名称中也包含用户的名称,您甚至可以使用策略变量为存储桶授予权限。这开始变得有点棘手。