是否有方法指定桶創建策略,以便具有指定角色的用戶只能創建具有指定名稱模式的桶(如company-dbbackup-*),並且沒有其他名稱模式?S3創建桶:限制到特定名稱模式
例如,用戶將被允許創建名稱爲company-dbbackup-March2017和company-dbbackup-fullarchive而不是test-bucketname-invalid的存儲桶。
我有什麼權利現在:
{
"Sid": "Stmt1493212897117",
"Action": [
"s3:CreateBucket",
"s3:ListAllMyBuckets"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::*"
}
但是,這讓我有任何名稱創建桶。
事實證明,這是相對簡單的(除非我忽略了一些東西)。我只是分裂的權限如下:
{
"Sid": "RestrictCreationToNamePolicy",
"Action": [
"s3:CreateBucket"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::company-dbbackup-*"
}
{
"Sid": "AllowListingOfBuckets",
"Action": [
"s3:ListAllMyBuckets"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::*"
}
我還沒有找到一種方法來限制只列出與命名策略桶。如果我將第二條語句限制爲資源arn:aws:s3:::company-dbbackup-*,則在嘗試列出存儲區時會出現拒絕訪問。
編輯:顯然限制上市不可能,here's a good Stack Overflow answer與可能的解決方法。這裏的also another good discussion。