堆棧內存溢出
  簡體   English   中英

IAM 政策:用戶無法訪問 S3 存儲桶

[英]IAM Policy: Users cannot access S3 bucket

 原文  2021-12-04 22:43:16       amazon-web-services/ amazon-s3/ amazon-iam

問題描述

我創建了一個用戶並分配了以下內聯策略。 同時,我在 s3 中創建了一個存儲桶。

"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "s3:*",
"Resource": "arn:aws:s3:::bucketname"

當我將此策略應用於特定用戶並嘗試訪問 S3 時,資源中列出的特定存儲桶未顯示? 我擔心我已經對所有 s3 進行了操作,然后我的存儲桶沒有出現在 S3 中嗎?

通過可視化編輯器,我嘗試為相同的事物創建策略,策略如下所示

 {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:ListStorageLensConfigurations",
                "s3:ListAccessPointsForObjectLambda",
                "s3:GetAccessPoint",
                "s3:PutAccountPublicAccessBlock",
                "s3:GetAccountPublicAccessBlock",
                "s3:ListAllMyBuckets",
                "s3:ListAccessPoints",
                "s3:ListJobs",
                "s3:PutStorageLensConfiguration",
                "s3:ListMultiRegionAccessPoints",
                "s3:CreateJob"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::bucketname"
        }
    ]
}

為什么要為列表創建單獨的操作並允許每個資源使用?

1 個解決方案

解決方案1
 0  2021-12-05 00:43:44

一些操作在存儲桶級別執行(例如列出存儲桶),而一些操作在對象級別執行(例如下載對象)。

您可以同時授予這兩種權限:

以下是用戶策略示例 - Amazon Simple Storage Service的示例:

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action": "s3:ListAllMyBuckets",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":["s3:ListBucket","s3:GetBucketLocation"],
         "Resource":"arn:aws:s3:::bucketname"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetObject",
            "s3:GetObjectAcl",
            "s3:DeleteObject"
         ],
         "Resource":"arn:aws:s3:::bucketname/*"
      }
   ]
}

您也可以將它們全部組合成一個策略:

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect": "Allow",
         "Action": "*",
         "Resource": ["arn:aws:s3:::bucketname", "arn:aws:s3:::bucketname/*"]
      }
   ]
}

但請注意,此“全部允許”策略也授予用戶刪除對象和存儲桶的權限,因此在授予用戶此類權限時應非常小心。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 S3存儲桶上的IAM策略 基於用戶標簽確定 S3 Bucket 訪問的 IAM 策略 一個未授予訪問權限的存儲桶的 S3 IAM 策略 即使在 S3 存儲桶策略中指定了 IAM 用戶,訪問也被拒絕 對S3存儲桶的IAM策略的權限被拒絕 IAM策略中的S3存儲桶加密限制 S3存儲桶策略和IAM角色沖突 AWS:s3 存儲桶策略不授予 IAM 用戶上傳到存儲桶的權限,引發 403 錯誤 允許訪問特定用戶並限制所有用戶的 S3 存儲桶策略 允許訪問 Cognito 用戶的 AWS S3 存儲桶策略
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM