AWS：在S3存儲桶中將IAM用戶限制為特定文件夾

Question

所以我一直在嘗試定義一個策略，將一組IAM用戶限制在S3存儲桶中的特定文件夾，但沒有成功。 我已經對這篇博客文章中概述的政策不以為然。 http://blogs.aws.amazon.com/security/post/Tx1P2T3LFXXCNB5/Writing-IAM-policies-Grant-access-to-user-specific-folders-in-an-Amazon-S3-bucke

具體來說，我使用以下內容：

{
 "Version":"2012-10-17",
 "Statement": [
   {
     "Sid": "AllowUserToSeeBucketListInTheConsole",
     "Action": ["s3:ListAllMyBuckets", "s3:GetBucketLocation"],
     "Effect": "Allow",
     "Resource": ["arn:aws:s3:::*"]
   },
  {
     "Sid": "AllowRootAndHomeListingOfCompanyBucket",
     "Action": ["s3:ListBucket"],
     "Effect": "Allow",
     "Resource": ["arn:aws:s3:::mybucket"],
     "Condition":{"StringEquals":{"s3:delimiter":["/"]}}
    },
   {
     "Sid": "AllowListingOfUserFolder",
     "Action": ["s3:ListBucket"],
     "Effect": "Allow",
     "Resource": ["arn:aws:s3:::mybucket"],
     "Condition":{"StringLike":{"s3:prefix":["myfolder"]}}
   },
   {
     "Sid": "AllowAllS3ActionsInUserFolder",
     "Effect": "Allow",
     "Action": ["s3:*"],
     "Resource": ["arn:aws:s3:::mybucket/myfolder/*"]
   }
 ]
}

不幸的是，由於某種原因，此策略允許用戶不僅導航到指定的文件夾，還導航到同一存儲桶中的其他文件夾。 如何以只能導航到指定文件夾的方式限制用戶？

Answer 1

我希望這個文檔可以幫助你，步驟分解並且非常簡單：

http://docs.aws.amazon.com/AmazonS3/latest/dev/walkthrough1.html

您也可以使用策略變量。

它允許您在策略中指定占位符。 評估策略時，策略變量將替換為來自請求本身的值。 例如 - ${aws:username}:

您還可以查看此Stackoverflow問題（如果看起來相關）：

阻止用戶甚至了解AWS S3上的其他用戶（文件夾）

Answer 2

我之前已經回答了這個問題，但我會從這里再次回答。 最好創建一個用戶，然后將它們添加到組中，然后將組r / w分配給存儲桶。 這是編寫策略的典型示例

{
  "Statement": [
    {
      "Sid": "sidgoeshere",
      "Action": [
        "s3:DeleteObject",
        "s3:GetObject",
        "s3:GetObjectAcl",
        "s3:ListBucket",
        "s3:PutObject"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::s3bucket",
        "arn:aws:s3:::s3bucket/*"
      ]
    }
  ]
}