Amazon S3: limitar o gerenciamento a um bucket específico do S3 - AWS Identity and Access Management

Amazon S3: limitar o gerenciamento a um bucket específico do S3

Este exemplo mostra como você pode criar uma política baseada em identidade que restrinja o gerenciamento de um bucket do Amazon S3 a esse bucket específico. Essa política concede permissão para realizar todas as ações do Amazon S3, mas nega acesso a todos os AWS service (Serviço da AWS), exceto o Amazon S3. Veja o exemplo a seguir. De acordo com essa política, você só pode acessar as ações do Amazon S3 que podem ser realizadas em um bucket do S3 ou em um recurso de objeto do S3. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o texto do espaço reservado em itálico na política de exemplo por suas próprias informações. Em seguida, siga as instruções em criar uma política ou editar uma política.

Se essa política for usada em combinação com outras políticas (como as políticas gerenciadas pela AWS AmazonS3FullAccess ou AmazonEC2FullAccess) que permitem ações negadas por esta política, o acesso será negado. Isso ocorre porque uma instrução de negação explícita tem precedência sobre instruções para permitir. Para obter mais informações, consulte Determinar se uma solicitação é permitida ou negada em uma conta.

Atenção

NotAction e NotResource são elementos de política avançados que devem ser usados com cuidado. Esta política nega o acesso a todos os produtos da AWS, exceto o Amazon S3. Se você anexar essa política a um usuário, quaisquer outras políticas que concedam permissões para outros serviços são ignoradas e o acesso é negado.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] }, { "Effect": "Deny", "NotAction": "s3:*", "NotResource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] } ] }