Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Amazon S3: Gewährt Verbundbenutzern programmgesteuert und in der Konsole Zugriff auf ihr S3-Stammverzeichnis
Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es Verbundbenutzern ermöglicht, auf ihr eigenes Startverzeichnis-Bucket-Objekt in S3 zuzugreifen. Das Stammverzeichnis ist ein Bucket mit einem home
-Verzeichnis sowie Verzeichnissen für einzelne Verbundbenutzer. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie italicized placeholder text
in der Beispielrichtlinie durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter Erstellen einer Richtlinie oder Bearbeiten einer Richtlinie.
Die Variable ${aws:userid}
in dieser Richtlinie wird in role-id:specified-name
aufgelöst. Der Teil role-id
der ID des Verbundbenutzers ist ein eindeutiger Bezeichner für die Rolle des Verbundbenutzers während der Erstellung. Weitere Informationen finden Sie unter Eindeutige Bezeichner. Dies specified-name
ist der RoleSessionName Parameter, der an die AssumeRoleWithWebIdentity
Anfrage übergeben wurde, als der Verbundbenutzer seine Rolle übernommen hat.
Sie können die Rollen-ID anzeigen, indem Sie AWS CLI Befehlaws iam get-role --role-name
. Stellen Sie sich zum Beispiel vor, Sie geben den Anzeigenamen an specified-name
John
und geben dann die Rollen-ID CLI zurückAROAXXT2NJT7D3SIQN7Z6
. In diesem Fall ist die ID des Verbundbenutzers AROAXXT2NJT7D3SIQN7Z6:John
. Diese Richtlinie erlaubt dann dem Vebundbenutzer John den Zugriff auf den Amazon S3-Bucket mit dem Präfix AROAXXT2NJT7D3SIQN7Z6:John
.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3ConsoleAccess", "Effect": "Allow", "Action": [ "s3:GetAccountPublicAccessBlock", "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:GetBucketPolicyStatus", "s3:GetBucketPublicAccessBlock", "s3:ListAccessPoints", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "ListObjectsInBucket", "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::
amzn-s3-demo-bucket
", "Condition": { "StringLike": { "s3:prefix": [ "", "home/", "home/${aws:userid}/*" ] } } }, { "Effect": "Allow", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket
/home/${aws:userid}", "arn:aws:s3:::amzn-s3-demo-bucket
/home/${aws:userid}/*" ] } ] }