Amazon S3: permite que usuários federados acessem seus respectivos diretórios base do S3 de forma programática e no console

Modo de foco

Amazon S3: permite que usuários federados acessem seus respectivos diretórios base do S3 de forma programática e no console - AWS Identity and Access Management

Este exemplo mostra como você pode criar uma política baseada em identidade que permita que usuários federados acessem seu próprio objeto de bucket do diretório inicial no S3. O diretório inicial é um bucket que inclui uma pasta home e pastas para usuários federados individuais. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o texto do espaço reservado em itálico na política de exemplo por suas próprias informações. Em seguida, siga as instruções em criar uma política ou editar uma política.

A variável ${aws:userid} nessa política resulta em role-id:specified-name. A parte role-id do ID do usuário federado é um identificador exclusivo atribuído à função do usuário federado durante a criação. Para ter mais informações, consulte Identificadores exclusivos. O specified-name é o parâmetro RoleSessionName passado para a solicitação AssumeRoleWithWebIdentity quando o usuário federado assumiu sua função.

Você pode visualizar o ID da função usando o comando da AWS CLI aws iam get-role --role-name specified-name. Por exemplo, imagine que você especifique o nome amigável John, e a CLI retorne o ID da função AROAXXT2NJT7D3SIQN7Z6. Nesse caso, o ID do usuário federado é AROAXXT2NJT7D3SIQN7Z6:John. Esta política permite que o usuário federado John acesse o bucket do Amazon S3 com o prefixo AROAXXT2NJT7D3SIQN7Z6:John.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "s3:prefix": [
                        "",
                        "home/",
                        "home/${aws:userid}/*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:userid}",
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:userid}/*"
            ]
        }
    ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

S3: acessar o bucket se Cognito

S3: acesso total com MFA recente

Selecione suas preferências de cookies

Personalizar preferências de cookies

Essenciais

Desempenho

Funcionais

Publicidade

Não foi possível salvar as preferências de cookie

Amazon S3: permite que usuários federados acessem seus respectivos diretórios base do S3 de forma programática e no console

Related resources

Esta página foi útil?

Related resources

Próximo tópico:

Tópico anterior:

Precisa de ajuda?