将 S3 存储桶映射到数据湖中的 IAM 策略 - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 S3 存储桶映射到数据湖中的 IAM 策略

我们建议您使用 IAM 策略或角色名称中的存储桶名称或路径将数据湖的 Amazon Simple Storage ServiceAWS Identity and Access Management (Amazon S3) 存储桶和路径映射到 (IAM) 策略和角色。下表显示了一个示例 S3 存储桶名称和用于访问此 S3 存储桶的 IAM 策略示例。

Amazon S3 对象路径示例 IAM 策略示例

S3 存储桶名称<companyname>-raw-<aws_region>-<aws_accountid>-dev

S3 存储桶路径nosql/us/customers/year=2020/month=03/day=01/table_customers_20210301.csv

 
{
      “Version” : “2012-10-17",
      “Statement” : [
      {
      “Sid” : “s3-nosql-us-customers-get-list",
      “Effect” : “Allow”,
      “Principal” : “*”,
      “Action” : [
      “s3:GetObject”,
      “s3:ListBucket”
      ],
      “Resource” : [
      “arn:aws:s3:::<companyname>-raw-<aws_region>-<aws_accountid>-dev/*”
      ]
      }
      ]
      }
注意

这是一个 IAM 策略示例,显示了我们推荐的 S3 存储桶命名标准;但是,您应确保根据组织的策略和要求正确配置 S3 存储桶策略。