Amazon S3: permite limitar la administración de un determinado bucket de S3 - AWS Identity and Access Management

Amazon S3: permite limitar la administración de un determinado bucket de S3

En este ejemplo se muestra cómo es posible crear una política de IAM con la que permite limitar la administración de un bucket de S3 permitiendo todas las acciones de S3 en el bucket especificado, pero denegando explícitamente el acceso a cada servicio de AWS, salvo Amazon S3. Esta política también deniega el acceso a acciones que no se pueden realizar en un bucket de S3, como s3:ListAllMyBuckets o s3:GetObject.Esta política proporciona los permisos necesarios para llevar a cabo esta acción únicamente desde la API o la AWS CLI de AWS.Para utilizar esta política, sustituya el texto rojo en cursiva del ejemplo de política por su propia información. A continuación, siga las instrucciones en crear una política o editar una política.

Si esta política se utiliza en combinación con otras políticas (como las políticas administradas por AWS AmazonS3FullAccess o AmazonEC2FullAccess) que permiten acciones denegadas por esta política, el acceso se denegará. Esto se debe a que una instrucción de denegación explícita prevalece sobre las instrucciones de permiso. Para obtener más información, consulte Cómo determinar si se una solicitud se permite o se deniega dentro de una cuenta.

aviso

NotAction y NotResource son elementos avanzados de política que deben utilizarse con precaución. Esta política deniega el acceso a cada servicio de AWS, salvo en Amazon S3. Si asocia esta política a un usuario, cualquier otra política que conceda permisos a otros servicios se pasará por alto y el acceso se denegará.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] }, { "Effect": "Deny", "NotAction": "s3:*", "NotResource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] } ] }