允許對 Amazon S3 儲存貯體進行讀取和寫入存取 - AWS Transfer Family

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

允許對 Amazon S3 儲存貯體進行讀取和寫入存取

本節說明如何建立允許讀取和寫入特定 Amazon S3 儲存貯體存取權IAM的政策。將具有此IAM政策IAM的角色指派給您的使用者,可讓該使用者存取指定的 Amazon S3 儲存貯體。

下列政策提供 Amazon S3 儲存貯體的程式設計讀取、寫入和標記存取權。只有在您需要啟用跨帳戶存取時,才需要 GetObjectACLPutObjectACL陳述式。也就是說,您的 Transfer Family 伺服器需要存取不同帳戶中的儲存貯體。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid":"ReadWriteS3",
      "Action": [
            "s3:ListBucket"
                ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetObject",
        "s3:GetObjectTagging",
        "s3:DeleteObject",              
        "s3:DeleteObjectVersion",
        "s3:GetObjectVersion",
        "s3:GetObjectVersionTagging",
        "s3:GetObjectACL",
        "s3:PutObjectACL"
      ],
      "Resource": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"]
    }
  ]
}

ListBucket 動作需要對儲存貯體本身的許可。PUTGETDELETE 動作需要物件許可。由於這些資源不同,因此使用不同的 Amazon Resource Names () 來指定這些資源ARNs。

若要進一步限制使用者只能存取指定 Amazon S3 儲存貯體的home字首,請參閱 為 Amazon S3 儲存貯體建立工作階段政策