Policy di container di esempio: Accesso completo multiaccount a un ruolo - AWSElementale MediaStore

Avviso di fine del supporto: il 13 novembre 2025, il supporto per Elemental AWS verrà interrotto. AWS MediaStore Dopo il 13 novembre 2025, non potrai più accedere alla console o alle MediaStore risorse. MediaStore Per ulteriori informazioni, consulta questo post del blog.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy di container di esempio: Accesso completo multiaccount a un ruolo

Questa policy di esempio consente accesso multiaccount per aggiornare qualsiasi oggetto nell'account, se l'utente è connesso tramite HTTP. Inoltre, consente accesso multiaccount per eliminare, scaricare e descrivere gli oggetti su HTTP o HTTPS in un account che ha assunto il ruolo specificato:

  • La prima istruzione è CrossAccountRolePostOverHttps. Consente l'accesso all'operazione PutObject su qualsiasi oggetto e consente l'accesso a qualsiasi utente dell'account specificato se tale account ha assunto il ruolo specificato in <nome ruolo>. Specifica che l'accesso ha la condizione di richiedere il protocollo HTTPS per l'operazione (tale condizione deve sempre essere inclusa quando si assegna l'accesso a PutObject).

    In altre parole, qualsiasi principale che abbia un accesso multiaccount può accedere a PutObject, ma solo tramite HTTPS.

  • La seconda istruzione è CrossAccountFullAccessExceptPost. Consente l'accesso a tutte le operazioni tranne PutObject su qualsiasi oggetto. Consente questo accesso a qualsiasi utente dell'account specificato se tale account ha assunto il ruolo specificato in <nome ruolo>. Questo accesso non ha la condizione di richiedere il protocollo HTTPS per le operazioni.

    In altre parole, qualsiasi account con accesso multiaccount può accedere a DeleteObject, GetObject e così via (ma non a PutObject) e può eseguire questa operazione su HTTP o HTTPS.

    La seconda istruzione non sarà valida se non viene escluso PutObject, perché per includere PutObject è necessario impostare esplicitamente HTTPS come condizione.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CrossAccountRolePostOverHttps",
      "Effect": "Allow",
      "Action": "mediastore:PutObject",
      "Principal":{
        "AWS": "arn:aws:iam::<other acct number>:role/<role name>"},
      "Resource": "arn:aws:mediastore:<region>:<owner acct number>:container/<container name>/*",
      "Condition": {
        "Bool": {
            "aws:SecureTransport": "true"
        }
      }
    },
    {
      "Sid": "CrossAccountFullAccessExceptPost",
      "Effect": "Allow",
      "NotAction": "mediastore:PutObject",
      "Principal":{
        "AWS": "arn:aws:iam::<other acct number>:role/<role name>"},
      "Resource": "arn:aws:mediastore:<region>:<owner acct number>:container/<container name>/*"
    }
  ]
}