Amazon S3:允許IAM使用者以程式設計方式和主控台存取其 S3 主目錄 - AWS 身分和存取權管理

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon S3:允許IAM使用者以程式設計方式和主控台存取其 S3 主目錄

此範例顯示如何建立以身分識別為基礎的政策,以允許IAM使用者在 S3 中存取自己的主目錄儲存貯體物件。主目錄是一個儲存貯體,其中包含 home 資料夾和個別使用者的資料夾。此政策定義了程式設計和主控台存取的許可。若要使用此原則,請取代 italicized placeholder text 在示例策略中使用您自己的信息。然後,遵循建立政策編輯政策中的指示進行操作。

使用IAM角色時,這個原則將無法運作,因為aws:username變數在使用IAM角色時無法使用。如需有關主要鍵值的詳細資訊,請參閱 主體索引鍵值

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "s3:prefix": [
                        "",
                        "home/",
                        "home/${aws:username}/*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:username}",
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:username}/*"
            ]
        }
    ]
}