我创建了一个 IAM 用户并将其授予特定存储桶的完全控制(操作 *)。
用户需要能够在此存储桶中放置图像、删除图像和创建子文件夹(我认为这可能是放置的一部分)。
现在我想限制此 IAM 用户帐户的访问量,并想问是否有人知道如果我需要上述操作,我应该将其限制在什么范围内?
我需要什么操作?
我还需要任何其他操作吗? 我一直在试图破译这个 AWS 页面:http://docs.aws.amazon.com/AmazonS3/latest/dev/UsingIAMPolicies.html
谢谢
【问题讨论】:
标签: image permissions amazon-web-services amazon-s3 amazon-iam
目前,在为 s3 存储桶创建读/写访问权限时,我们执行以下策略
"Sid": "S3Write",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:Get*",
"s3:List*",
"s3:PutObject*"
用于读取访问
"Sid": "S3ReadAccess",
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
]
希望这会有所帮助。
【讨论】:
您所做的只是创建和删除 S3 对象,因此您只需要这两个权限。但是,某些语言 API 会执行额外的操作,因此需要更多权限。例如,您可能需要添加列表权限才能使您的 API 正常工作。您应该尝试用一个小程序对其进行测试。
顺便说一句,您实际上并没有创建文件夹。如果您在其名称中放置一个带有斜杠的对象,则您将隐式创建所有中间“文件夹”(实际上并不存在,但它们的行为就像它们一样)。
【讨论】: