2017-07-10 73 views
0

是否有示例IAM策略,授予訪問單個IAM用戶的權限,讓他們創建和管理自己的S3存儲桶?S3 - 授予訪問權限以創建存儲區

+0

如果您打算允許單個IAM用戶創建存儲桶並完全管理它們,那麼您可能需要s3:*。但是,如果您只是想爲單個IAM用戶提供隔離的S3存儲,請參閱http://docs.aws.amazon.com/AmazonS3/latest/dev/example-policies-s3.html#iam-policy-ex1 。 – jarmod

回答

1

亞馬遜S3並沒有真正擁有一個人「自己」的概念。 AWS賬戶擁有的存儲桶爲,不是特定用戶。

你可以把一個政策上的IAM用戶,使他們的權限爲特定桶

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Action": "s3:*", 
     "Effect": "Allow", 
     "Resource": ["arn:aws:s3:::my-bucket"] 
    }, 
    { 
     "Action": "s3:*", 
     "Effect": "Allow", 
     "Resource": ["arn:aws:s3:::my-bucket/*"] 
    } 
    ] 
} 

然而,這不授予權限創建一個水桶。爲此,他們需要"s3:createBucket"的許可,但請注意,您需要將該存儲桶的名稱編碼到新策略中。

或者,您可以使用IAM Policy Variables創建一個通用規則,允許用戶在共享存儲區內訪問其自己的子目錄(前綴)

如果存儲桶名稱中也包含用戶名,您甚至可以使用策略變量來授予存儲桶權限。這開始變得有點棘手。