Доступ пользователей AWS IAM к S3

Я создал пользователя IAM и предоставил ему полный доступ (действие *) для определенного сегмента.

Пользователь должен иметь возможность помещать изображения, удалять изображения и создавать подпапки (которые, как я думаю, могут быть частью размещения) в этом сегменте.

Теперь я хочу ограничить объем доступа, который имеет эта учетная запись пользователя IAM, и хотел бы спросить, знает ли кто-нибудь, чем я должен ограничить его, если мне нужны указанные выше действия?

Какие действия мне потребуются?

  • s3: putObject
  • s3: DeleteObject

Требуются ли мне другие действия? Я пытался расшифровать эту страницу AWS: http://docs.aws.amazon.com/AmazonS3/latest/dev/UsingIAMPolicies.html

Спасибо


amazon-web-services image amazon-s3 permissions amazon-iam
person user1105192    schedule 11.03.2013    source источник

Ответы (2)


arrow_upward
2
arrow_downward

Все, что вы делаете, - это создание и удаление объектов S3, поэтому эти два разрешения - все, что вам нужно. Однако некоторые языковые API-интерфейсы выполняют дополнительные операции и в результате нуждаются в дополнительных привилегиях. Например, вам может потребоваться добавить разрешение на список для работы вашего API. Вы должны попробовать проверить это с помощью небольшой программы.

Кстати, вы на самом деле не создаете папки. Если вы помещаете объект с косой чертой в его имя, вы неявно создаете все промежуточные «папки» (которые на самом деле не существуют, но действуют как они).

person Charles Engelke    schedule 12.03.2013

arrow_upward
0
arrow_downward

В настоящее время при создании доступа для чтения / записи для ведер s3 мы выполняем следующую политику

  "Sid": "S3Write",
  "Effect": "Allow",
  "Action": [
    "s3:AbortMultipartUpload",
    "s3:DeleteObject",
    "s3:Get*",
    "s3:List*",
    "s3:PutObject*"

Для чтения

  "Sid": "S3ReadAccess",
  "Effect": "Allow",
  "Action": [
    "s3:Get*",
    "s3:List*"
  ]

Надеюсь это поможет.

person Community    schedule 11.02.2019