我们是否可以编写一个iam策略来限制仅在存在标记时创建s3存储桶。我,e用户应该能够创建s3桶只有他有某些标签。
答案 0 :(得分:2)
不,政策不应该以这种方式使用,但你可以解决这个问题:
1-删除对S3存储桶的公共访问
2-创建一个web应用程序(可能是一个简单的html(托管在s3上),由lambda函数支持)让用户选择他们的文件上传到S3并提供一些标签
3-自定义验证通过后,调用aws-sdk api将文件升级为S3
答案 1 :(得分:2)
无法使用资源标记标记用户;用户they are not supported。
相反,您应该考虑使用IAM组,并拒绝对特定IAM组的CreateBucket权限,然后将该用户分配给该组。这样,该组中的用户将无权创建S3存储桶。
答案 2 :(得分:0)
注意:我没有对此进行过测试,但这是由AWS记录的。
您可以使用IAM用户路径执行此操作。例如,您可以创建" bucket_managers"的IAM用户路径。然后在您的策略中,您可以使用如下资源语句:
"Resource":"arn:aws:iam::<ACCOUNTNUMBER>:user/bucket_managers/*"