我们能否编写一个IAM策略,仅在标签存在时限制创建S3存储桶。也就是说,只有当用户拥有特定标签时才能创建S3存储桶。
S3桶的IAM权限策略
3
- Kevin
2
你能解释一下你说的“标签”是什么意思吗? - jarnohenneman
IAM策略条件中可以使用标签,但IAM用户无法被标记。 - Mathew Tinsley
3个回答
2
不,策略并不是用这种方式来使用的,但您可以通过以下方式解决问题:
1- 删除S3存储桶的公共访问权限
2- 创建一个网络应用程序(可能是一个简单的HTML文件(托管在S3上),由Lambda函数支持),让用户选择要上传到S3的文件并提供一些标签
3- 在您的自定义验证通过后,调用aws-sdk api将文件上传到S3
- Mohsen Kamrani
1
该问题并不涉及将文件上传到S3,而是涉及限制创建存储桶的权限。 - Rodrigo Murillo
2
无法使用资源标签标记用户;不支持用户的标记。
相反,您应该考虑使用IAM组,并拒绝特定IAM组的CreateBucket权限,然后将该用户分配给该组。这样,该组中的用户将无权创建S3存储桶。
- Rodrigo Murillo
0
注意:我没有测试过,但这是由AWS记录的。
您可以使用IAM用户路径来执行此操作。例如,您可以创建一个名为“bucket_managers”的IAM用户路径。然后,在您的策略中,您可以使用像这样的资源语句:
您可以使用IAM用户路径来执行此操作。例如,您可以创建一个名为“bucket_managers”的IAM用户路径。然后,在您的策略中,您可以使用像这样的资源语句:
"Resource":"arn:aws:iam::<ACCOUNTNUMBER>:user/bucket_managers/*"
- John Hanley
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接