授予访问权限以读取 Amazon S3 存储桶中的子目录
Grant access to read a subdirectory within an Amazon S3 bucket
我以前从未使用过 AWS S3。我们用它来为客户自动备份通话录音。我们的一位客户出于审计目的需要访问他们的录音。
我正在使用客户端 CyberDuck 作为访问文件的方式。
我只想让他们访问他们的文件。
我们的文件结构如下:
recordings/12345/COMPANYNAMEHERE/
我刚刚了解到您基于脚本和策略来构建和做事。所以我做了一些研究并试图建立一个,但我在列表中被拒绝访问。
只是好奇我是否正确地处理了这个问题。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::recordings/12345/COMPANYNAMEHERE",
"arn:aws:s3:::recordings/12345/COMPANYNAMEHERE/*"
]
}
]
}
您只给了他们ListAllMyBuckets的权限,这意味着他们只能列出您的存储桶的名称,不能做任何其他事情。
如果您已经为他们创建了一个 IAM 用户,那么给他们这个策略将允许他们列出和检索他们的文件,但只能从给定的目录(或者更准确地说,使用给定的前缀):
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::my-bucket"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"recordings/123/*"
]
}
}
},
{
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::my-bucket/recordings/123/*"
]
}
]
}
如果您经常对客户这样做,那么您可以使用 IAM Policy Variables 创建一个规则来替换他们的用户名:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::my-bucket"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"recordings/${aws:username}/*"
]
}
}
},
{
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::my-bucket/recordings/${aws:username}/*"
]
}
]
}
我以前从未使用过 AWS S3。我们用它来为客户自动备份通话录音。我们的一位客户出于审计目的需要访问他们的录音。
我正在使用客户端 CyberDuck 作为访问文件的方式。
我只想让他们访问他们的文件。
我们的文件结构如下:
recordings/12345/COMPANYNAMEHERE/
我刚刚了解到您基于脚本和策略来构建和做事。所以我做了一些研究并试图建立一个,但我在列表中被拒绝访问。
只是好奇我是否正确地处理了这个问题。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::recordings/12345/COMPANYNAMEHERE",
"arn:aws:s3:::recordings/12345/COMPANYNAMEHERE/*"
]
}
]
}
您只给了他们ListAllMyBuckets的权限,这意味着他们只能列出您的存储桶的名称,不能做任何其他事情。
如果您已经为他们创建了一个 IAM 用户,那么给他们这个策略将允许他们列出和检索他们的文件,但只能从给定的目录(或者更准确地说,使用给定的前缀):
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::my-bucket"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"recordings/123/*"
]
}
}
},
{
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::my-bucket/recordings/123/*"
]
}
]
}
如果您经常对客户这样做,那么您可以使用 IAM Policy Variables 创建一个规则来替换他们的用户名:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::my-bucket"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"recordings/${aws:username}/*"
]
}
}
},
{
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::my-bucket/recordings/${aws:username}/*"
]
}
]
}