多个存储桶的 AWS IAM 策略

Posted

技术标签:

【中文标题】多个存储桶的 AWS IAM 策略【英文标题】:AWS IAM policy for more than one bucket 【发布时间】:2017-11-14 02:17:12 【问题描述】:

当需要针对两个以上存储桶的 IAM 策略时,有什么建议?存储桶名称彼此完全不同。

    合并所有访问权限并将其放入一个 IAM 策略中? 为 n 个存储桶创建 n 个策略?

如果答案是 1,有人可以提供两个存储桶 1.bucket-a 2.bucket-b 的读/写权限的示例

【问题讨论】:

【参考方案1】:

您是在创建 IAM 用户策略还是 S3 存储桶策略?我将为此答案假设 S3 存储桶策略。

S3 存储桶一次只能应用一个策略。

此 S3 存储桶策略将授予对两个存储桶的读取(获取)和写入(放置)对象的匿名访问权限。请注意,匿名用户将无法列出对象。


  "Version":"2012-10-17",
  "Statement":[
    
      "Sid":"AddPerm",
      "Effect":"Allow",
      "Principal": "*",
      "Action":[
           "s3:GetObject",
           "s3:PutObject"
      ],
      "Resource":[
          "arn:aws:s3:::bucket-a/*",
          "arn:aws:s3:::bucket-b/*"
      ]
    
  ]

Specifying Permissions in a Policy

【讨论】:

我正在尝试创建 IAM 用户策略以访问 n 个存储桶,并试图弄清楚我是否应该将这些策略合并为一个并将其应用于用户帐户或使其不同粒度级别。

以上是关于多个存储桶的 AWS IAM 策略的主要内容,如果未能解决你的问题,请参考以下文章

如何将驻留在账户 A 中的 s3 存储桶的访问权限授予来自多个 aws 账户的不同 iam 用户?

拒绝除一个之外的所有存储桶的 AWS IAM 策略

针对 Grafana 警报写入 s3 存储桶的 AWS IAM 策略问题

针对单个存储桶的读取和写入权限的 AWS S3 IAM 策略

私有登台S3存储桶的策略

AWS-IAM:授予对单个存储桶的访问权限