[英]IAM Role policy for cross account access to S3 bucket in a specific AWS account
僅當 AWS AccountB中存在給定的 S3 存儲桶時才允許從AccountA中的 IAM 角色訪問(使用帳號)。
這是我在AccountA中的角色策略,目前具有以下權限。 如何將其更新為僅訪問AccountB中的 S3 存儲桶。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*",
"s3:Put*"
],
"Resource": [
"arn:aws:s3:::kul-my-bucket/my-dir/*"
]
},
{
"Sid": "ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::kul-my-bucket"
]
}
]
}
想知道是否有可能或者我應該嘗試不同的方法嗎?
通過在政策中提供條件,我的情況是否可能與此類似:
"Condition": {
"StringLike": {
"aws:accountId": [
"111111111111"
]
}
}
我需要這個,因為在AccountB的 S3 存儲桶上,它允許root訪問AccountA 。 因此,我想限制AccountA中的角色策略。
我認為不可能根據 AWS 帳號授予/拒絕對 Amazon S3 存儲桶的訪問權限。 這是因為 Amazon S3 ARN 不包括賬戶 ID,而是使用唯一的存儲桶名稱。
您需要按名稱專門授予允許訪問每個存儲桶的權限。
我之前見過這種情況,要求授予 S3 權限以僅訪問其他賬戶中的存儲桶,而不是擁有 IAM 用戶自己的賬戶。 如果不授予訪問“相同帳戶”S3 存儲桶的權限,我們無法確定執行此操作的方法。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.