Amazon S3: Beschränken der Verwaltung auf einen bestimmten S3-Bucket - AWS Identity and Access Management

Amazon S3: Beschränken der Verwaltung auf einen bestimmten S3-Bucket

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die die Verwaltung eines Amazon-S3-Buckets auf diesen spezifischen Bucket beschränkt. Diese Richtlinie gewährt die Berechtigung, alle Amazon-S3-Aktionen durchzuführen, verweigert aber den Zugriff auf jeden AWS-Service außer Amazon S3. Sehen Sie sich das folgende -Beispiel an. Gemäß dieser Richtlinie können Sie nur auf Amazon-S3-Aktionen zugreifen, die Sie für einen S3-Bucket oder eine S3-Objektressource durchführen können. Diese Richtlinie gewährt die Berechtigungen, die erforderlich sind, um diese Aktion programmgesteuert über die AWS-API oder -AWS CLI durchzuführen. Um diese Richtlinie zu verwenden, ersetzen Sie den kursiv gedruckten Platzhaltertext in der Beispielrichtlinie durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter Erstellen einer Richtlinie oder Bearbeiten einer Richtlinie.

Wenn diese Richtlinie in Kombination mit anderen Richtlinien verwendet wird (z. B. den von AWS verwalteten Richtlinien AmazonS3FullAccess oder AmazonEC2FullAccess), die Aktionen erlauben, die von dieser Richtlinie verweigert werden, dann wird der Zugriff verweigert. Der Grund hierfür liegt darin, dass eine explizite Zugriffsverweigerung Vorrang vor einer Zugriffserlaubnis hat. Weitere Informationen finden Sie unter So wertet die Logik des AWS-Durchsetzungscodes Anfragen zum Gewähren oder Verweigern des Zugriffs aus.

Warnung

Bei NotAction und NotResource handelt es sich um erweiterte Richtlinienelemente, die mit Vorsicht verwendet werden sollten. Diese Richtlinie verweigert den Zugriff auf alle AWS-Services mit Ausnahme von Amazon S3. Wenn Sie diese Richtlinie einem Benutzer anfügen, werden alle anderen Richtlinien, die Berechtigungen für andere Services erteilen, ignoriert und der Zugriff wird verweigert.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        },
        {
            "Effect": "Deny",
            "NotAction": "s3:*",
            "NotResource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}