我创建了一个组,然后我向该组添加了新用户,然后我创建了以下IAM策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::EXAMPLE-BUCKET-NAME"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": "arn:aws:s3:::EXAMPLE-BUCKET-NAME/*"
}
]
}
我从上面得到了上述政策:
http://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_examples.html
基本上,我只想为一个特定的存储桶授予权限,但上述策略不起作用 . 用户仍然可以添加,删除,修改来自其他存储桶的文件 .
谢谢!
2 回答
这个策略肯定应该工作 - 用户只能添加/删除/修改EXAMPLE-BUCKET-NAME存储桶 .
仔细检查您的组和用户,确保没有附加其他托管或内联策略 .
尝试将IAM角色用于每个用户的S3存储桶和角色 . 这应该限制对存储桶的写访问 .
请参阅此链接 - https://aws.amazon.com/blogs/security/how-to-restrict-amazon-s3-bucket-access-to-a-specific-iam-role/
检查链接谈论授予访问权限的部分 .
希望有所帮助!