Amazon S3 : autorise les utilisateurs fédérés à accéder à leur répertoire de base S3, par programmation et dans la console
Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise des utilisateurs fédérés à accéder à leur propre objet de compartiment de répertoire de base dans S3. Le répertoire de base est un compartiment qui inclut un dossier home
et des dossiers pour les utilisateurs fédérés individuels. Cette politique définit des autorisations pour l'accès à la console et par programmation. Pour utiliser cette politique, remplacez le texte de l'espace réservé en italique
dans l'exemple de politique par vos propres informations de ressource. Ensuite, suivez les instructions fournies dans create a policy (créer une politique) ou edit a policy (modifier une politique).
La variable ${aws:userid}
de cette politique se résout à role-id:specified-name
. La partie role-id
de l'ID de l'utilisateur fédéré est un identifiant unique attribué au rôle de l'utilisateur fédéré au moment de la création. Pour plus d’informations, veuillez consulter Identifiants uniques. Le specified-name
est le Paramètre RôleSessionNom transmis à la demande AssumeRoleWithWebIdentity
lorsque l'utilisateur fédéré endosse son rôle.
Vous pouvez consulter l'ID de rôle à l'aide de la commande d'AWS CLI aws iam get-role --role-name
. Par exemple, imaginons que vous spécifiez le nom convivial specified-name
John
et que l'CLI renvoie l'ID de rôle AROAXXT2NJT7D3SIQN7Z6
. Dans ce cas, l'ID de l'utilisateur fédéré est AROAXXT2NJT7D3SIQN7Z6:John
. Cette politique permet ensuite à l'utilisateur fédéré John d'accéder au compartiment Amazon S3 avec le préfixe AROAXXT2NJT7D3SIQN7Z6:John
.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3ConsoleAccess", "Effect": "Allow", "Action": [ "s3:GetAccountPublicAccessBlock", "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:GetBucketPolicyStatus", "s3:GetBucketPublicAccessBlock", "s3:ListAccessPoints", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "ListObjectsInBucket", "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::
amzn-s3-demo-bucket
", "Condition": { "StringLike": { "s3:prefix": [ "", "home/", "home/${aws:userid}/*" ] } } }, { "Effect": "Allow", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket
/home/${aws:userid}", "arn:aws:s3:::amzn-s3-demo-bucket
/home/${aws:userid}/*" ] } ] }