Политика Iam для ведра s3

Question

Политика Iam для ведра s3

Можем ли мы написать политику iam для ограничения создания корзины s3 только при наличии тегов. Пользователь должен иметь возможность создавать корзину S3 только при наличии определенных тегов.

3

amazon-web-services amazon-s3 amazon-ec2 s3-bucket

Источник

user8678914 17 дек '17 в 02:52

3 ответа

Другие вопросы по тегам amazon-web-services amazon-s3 amazon-ec2 s3-bucket

user3274830 17 дек '17 в 06:13 2017-12-17 06:13 · Answer 1 · 2017-12-17 06:13

Нет, политики не предназначены для использования таким образом, но вы можете решить проблему следующим образом:

1- Удалить публичный доступ к корзине S3

2- Создайте веб-приложение (может быть, простой HTML (размещенный на s3), поддерживаемый лямбда-функцией), чтобы позволить пользователям выбирать свои файлы для загрузки на S3 и предоставлять некоторые теги

3- После того, как ваши пользовательские проверки пройдены, вызовите api aws-sdk, чтобы загрузить файлы на S3

user5451492 17 дек '17 в 13:43 2017-12-17 13:43 · Answer 2 · 2017-12-17 13:43

Нет способа пометить пользователей с помощью тегов ресурсов; они не поддерживаются для пользователей.

Вместо этого вы должны рассмотреть возможность использования групп IAM и отрицать CreateBucket разрешение для определенной группы IAM, а затем назначить этого пользователя для этой группы. Таким образом, пользователи в этой группе не будут иметь разрешения на создание сегментов S3.

user8016720 17 дек '17 в 18:50 2017-12-17 18:50 · Answer 3 · 2017-12-17 18:50

Примечание. Я не проверял это, но это задокументировано AWS.

Вы можете сделать это, используя пути пользователя IAM. Например, вы можете создать IAM User Path "bucket_managers". Тогда в вашей политике вы можете использовать выражение ресурса, как это:

"Resource":"arn:aws:iam::<ACCOUNTNUMBER>:user/bucket_managers/*"

Идентификаторы IAM