周围也有类似的问题,但似乎没有一个人能直接回答我(或者我自己也不太熟悉AWS来连接点。)如果这很容易搜索,请道歉。我现在已经尝试了很多天。
我想创建一个策略,我可以为我的Glacier分配给IAM用户,允许任何IAM用户创建保管库,然后允许他们访问他们创建的保险库的大部分权限。 (基本上只有删除)
用例/场景是这样的:我在多个站点上传播了多个Synology NAS。我现在让他们都使用他们自己的IAM信誉备份到冰川帐户。到现在为止还挺好。 问题变为当他们需要进行恢复(甚至只是一个列表保险库)时,他们会看到帐户中的所有保险库。我不希望他们看到其他NAS的保险库/备份,因为它可能令人困惑,与该网站无关。 到目前为止,我自己只是在做所有Glacier操作,但这对我们来说无法扩展。 (我们打算增加大约25个NASes /站点,目前运行大约8-10个)
我的假设是,我应该能够以某种方式使用条件语句和某些存储库/ $ {userid}变体,但不能完全找到/获取它。
我无法影响保险库创建的任何内容(例如添加标签),因为它是创建保险库的Synology Glacier应用程序,因此无法对其进行修改。
我已经看到过类似EC2的一些使用post-hoc标记的解决方案。如果我可以避免它,我宁愿不去那条路,因为它涉及我们不会使用的其他服务,我几乎一无所知(CloudStream(?),CloudWatch(?)和Lambda我认为)
我还考虑过多个和关联的帐户,如果这是我唯一的方式,但是没有能力将保险库转移到新帐户 - 意味着要重新启动这些帐户 - 它不是一个吸引人的选择。
看起来像这样的政策应该很容易。希望它是,而且只需点击几下我目前的政策写作技巧。