AWS S3-如何將IAM用戶限制為一個存儲桶？

Question

我已經為此苦苦掙扎了數小時，無法解決。

我創建了一個新用戶，稱為雙重身份，並創建了一個名為bobs-house的新存儲桶，並生成了以下策略：（我不確定應該共享的任何數字都被xxx'了）

{
    "Version": "2012-10-17",
    "Id": "Policyxxx",
    "Statement": [
        {
            "Sid": "Stmtxxx",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::xxx:user/duplicity"
            },
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::bobs-house/*"
        }
    ]
}

我轉到策略模擬器，然后運行一些測試。 果然，它說我可以做任何我想做的事情，但是只能在鮑勃的房子里做。 如果重復性試圖做任何涉及其他存儲桶的操作，則會被拒絕。 大！

現在，我啟動FTP客戶端並使用重復的IAM訪問密鑰和秘密密鑰連接到s3.amazonaws.com（當然使用Transmit的S3協議，而不是FTP協議）。 我得到“訪問被拒絕”。 我不知道我在做什么錯。 任何幫助，將不勝感激！

編輯：

知道了，這要感謝下面約翰的回答。 我可以使用Transmit連接並僅查看該存儲桶的內容，添加文件等。但是，重復性（備份軟件）在抱怨：

永久重定向。 您嘗試訪問的存儲桶必須使用指定的端點進行尋址。 請將所有將來的請求發送到此端點。 bobs-house.s3.amazonaws.com

因此，我將重復性配置中的格式切換為：

s3://bops-house.s3.amazonaws.com/test

然后我得到這個錯誤：

我們計算出的請求簽名與您提供的簽名不匹配。 檢查您的密鑰和簽名方法。

我的訪問密鑰和秘密密鑰絕對正確。

Answer 1

如果您希望向特定用戶授予Amazon S3權限，則最好針對IAM用戶本身創建策略，而不是對存儲桶策略進行創建。

存儲桶策略適合分配通用權限，而IAM中的策略則適合向特定用戶或用戶組授予權限。

請參閱： 用戶策略示例