Amazon S3: Gewährt Verbundbenutzern programmgesteuert und in der Konsole Zugriff auf ihr S3-Stammverzeichnis - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon S3: Gewährt Verbundbenutzern programmgesteuert und in der Konsole Zugriff auf ihr S3-Stammverzeichnis

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es Verbundbenutzern ermöglicht, auf ihr eigenes Startverzeichnis-Bucket-Objekt in S3 zuzugreifen. Das Stammverzeichnis ist ein Bucket mit einem home-Verzeichnis sowie Verzeichnissen für einzelne Verbundbenutzer. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie italicized placeholder text in der Beispielrichtlinie durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter Erstellen einer Richtlinie oder Bearbeiten einer Richtlinie.

Die Variable ${aws:userid} in dieser Richtlinie wird in role-id:specified-name aufgelöst. Der Teil role-id der ID des Verbundbenutzers ist ein eindeutiger Bezeichner für die Rolle des Verbundbenutzers während der Erstellung. Weitere Informationen finden Sie unter Eindeutige Bezeichner. Dies specified-name ist der RoleSessionName Parameter, der an die AssumeRoleWithWebIdentity Anfrage übergeben wurde, als der Verbundbenutzer seine Rolle übernommen hat.

Sie können die Rollen-ID anzeigen, indem Sie AWS CLI Befehlaws iam get-role --role-name specified-name. Stellen Sie sich zum Beispiel vor, Sie geben den Anzeigenamen an John und geben dann die Rollen-ID CLI zurückAROAXXT2NJT7D3SIQN7Z6. In diesem Fall ist die ID des Verbundbenutzers AROAXXT2NJT7D3SIQN7Z6:John. Diese Richtlinie erlaubt dann dem Vebundbenutzer John den Zugriff auf den Amazon S3-Bucket mit dem Präfix AROAXXT2NJT7D3SIQN7Z6:John.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "s3:prefix": [
                        "",
                        "home/",
                        "home/${aws:userid}/*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:userid}",
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:userid}/*"
            ]
        }
    ]
}