我们能否编写一个IAM策略,仅在标签存在时限制创建S3存储桶。也就是说,只有当用户拥有特定标签时才能创建S3存储桶。
我们能否编写一个IAM策略,仅在标签存在时限制创建S3存储桶。也就是说,只有当用户拥有特定标签时才能创建S3存储桶。
不,策略并不是用这种方式来使用的,但您可以通过以下方式解决问题:
1- 删除S3存储桶的公共访问权限
2- 创建一个网络应用程序(可能是一个简单的HTML文件(托管在S3上),由Lambda函数支持),让用户选择要上传到S3的文件并提供一些标签
3- 在您的自定义验证通过后,调用aws-sdk api将文件上传到S3
无法使用资源标签标记用户;不支持用户的标记。
相反,您应该考虑使用IAM组,并拒绝特定IAM组的CreateBucket
权限,然后将该用户分配给该组。这样,该组中的用户将无权创建S3存储桶。
"Resource":"arn:aws:iam::<ACCOUNTNUMBER>:user/bucket_managers/*"