我们希望在存储桶内创建逻辑文件夹,但不超过100个存储桶。假设我们只有一个AWS账户,我们希望将这些上传的文档分发到这100个存储桶中。对所有存储桶执行IAM策略的最佳实践是什么?这样有多个用户,只有文档创建者可以查看/删除上传的文档?AWS S3 IAM策略多个存储桶
Tks。
我们希望在存储桶内创建逻辑文件夹,但不超过100个存储桶。假设我们只有一个AWS账户,我们希望将这些上传的文档分发到这100个存储桶中。对所有存储桶执行IAM策略的最佳实践是什么?这样有多个用户,只有文档创建者可以查看/删除上传的文档?AWS S3 IAM策略多个存储桶
Tks。
我不确定我是否完全理解您的用例。为什么你想在你的用户中分发你的桶?
关于使用IAM为“主目录”的用户的最佳实践,您可以在AWS Docs发现:
{
"Statement":[{
"Effect":"Allow",
"Action":["s3:PutObject","s3:GetObject","s3:GetObjectVersion",
"s3:DeleteObject","s3:DeleteObjectVersion"],
"Resource":"arn:aws:s3:::my_bucket/home/user_name/*"
}
]
}
由于mentioned by @Guy,每个用户的文件夹是不是每个用户水桶更好,但在任何情况下您可以将policy variable${aws:username}
用于一个规则而不是多个规则。见example in their documentation。
在你的情况,我想你可以把它放在斗阿尔恩,如:
{
"Statement":[{
"Effect":"Allow",
"Action":["s3:*"],
"Resource":"arn:aws:s3:::bucket-for-${aws:username}/*"
}]
}
为什么不分配每个用户一斗? – Guy