如何授予外部AWS IAM用户访问特定S3存储桶文件夹的权限

时间:2019-07-17 22:48:46

标签: amazon-web-services amazon-s3

我需要授予外部用户访问单个Amazon S3存储桶文件夹的权限。我有他们的ARN信息,但在授予访问权限时遇到问题。

{
    "Version": "2012-10-17",
    "Id": "S3AccessPolicy",
    "Statement": [
        {
            "Sid": "TestAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<external ARN>"
            },
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::rootlevelbucket",
                "arn:aws:s3:::rootlevelbucket/specificfolder/*"
            ]
        }
    ]
}

1 个答案:

答案 0 :(得分:2)

有两个方面可以跨帐户访问。您具有存储桶策略的第一部分,但是外部帐户的管理员需要使用以下IAM策略向用户授予对S3的访问权限。您可以在IAM策略上使用s3:*,因为存储桶策略将仅限于您列出的命令。

AWS Documentation

外部用户的IAM策略:

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "RootlevelbucketAccess",
         "Effect": "Allow",
         "Action": [
            "s3:*"
         ],
         "Resource": [
             "arn:aws:s3:::rootlevelbucket",
             "arn:aws:s3:::rootlevelbucket/specificfolder/*"
         ]
      }
   ]
}