使用 Amazon S3 控制台添加存储桶策略 - Amazon Simple Storage Service

使用 Amazon S3 控制台添加存储桶策略

您可以使用 AWS 策略生成器和 Amazon S3 控制台添加新的存储桶策略或编辑现有存储桶策略。存储桶策略是基于资源的 AWS Identity and Access Management(IAM)策略。将存储桶策略添加到一个存储桶可向其他 AWS 账户 或 IAM 用户授予对该存储桶以及其中对象的访问权限。对象权限仅应用于存储桶拥有者创建的对象。有关存储桶策略的更多信息,请参阅 Amazon S3 的身份和访问管理

确保保存策略之前解决来自 AWS Identity and Access Management Access Analyzer 的安全警告、错误、一般警告和建议。IAM Access Analyzer 将根据 IAM 策略语法最佳实践运行策略检查,以验证您的策略。这些检查项生成结果并提供可操作的建议,可帮助您编写可操作且符合安全最佳实践的策略。要了解有关使用 IAM Access Analyzer 验证策略的更多信息,请参阅《IAM 用户指南》中的 IAM Access Analyzer 策略验证。要查看 IAM Access Analyzer 返回的警告、错误和建议的列表,请参阅 IAM Access Analyzer 策略检查引用

有关对策略错误进行故障排查的指南,请参阅排查 Amazon S3 中的拒绝访问(403 Forbidden)错误

创建或编辑存储桶策略
  1. 登录到 AWS Management Console,然后通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/

  2. 在左侧导航窗格中,选择存储桶

  3. Buckets(存储桶)列表中,请选择要为其创建或编辑存储桶策略的存储桶的名称。

  4. 选择 Permissions(权限)选项卡。

  5. Bucket policy(存储桶策略)下,请选择 Edit(编辑)。将出现 Edit bucket policy(编辑存储桶策略)页面。

  6. Edit bucket policy(编辑存储桶策略)页面上,执行以下操作之一:

    • 要查看存储桶策略的示例,请选择策略示例。或请参阅《Amazon S3 用户指南》中的 Amazon S3 存储桶策略的示例

    • 要自动生成策略或编辑策略部分中的 JSON,请选择策略生成器

    如果选择 Policy generator(策略生成器),AWS 策略生成器将在新窗口中打开。

    1. AWS 策略生成器页面上,对于选择策略类型,选择 S3 存储桶策略

    2. 通过在提供的字段中输入信息来添加语句,然后选择添加语句。对所有您想添加的语句重复执行此步骤。有关这些字段的更多信息,请参阅《IAM 用户指南》中的 IAM JSON 策略元素参考

      注意

      为方便起见,编辑桶策略页面会在策略文本字段上方显示当前桶的桶 ARN(Amazon 资源名称)。您可以复制此 ARN,以便在 AWS 策略生成器页面上的语句中使用。

    3. 添加完语句后,请选择生成策略

    4. 复制生成的策略文本,请选择 Close(关闭),然后返回到 Amazon S3 控制台中的 Edit bucket policy(编辑存储桶策略)页面。

  7. Policy(策略)框中,编辑现有策略或从 AWS 策略生成器粘贴存储桶策略。确保在保存策略之前解决安全警告、错误、一般警告和建议。

    注意

    存储桶策略的大小限制为 20 KB。

  8. (可选)选择右下角的 Preview external access(预览外部访问),以预览新策略如何影响对资源的公有和跨账户访问。在保存策略之前,您可以检查策略是引入了新的 IAM Access Analyzer 发现结果还是解析了现有的发现结果。如果您没有看到活动的分析器,请在 IAM Access Analyzer 中选择 Go to Access Analyzer(转至 Access Analyzer)以创建账户分析器。有关更多信息,请参阅 IAM 用户指南中的预览访问权限

  9. 请选择 Save changes(保存更改),此操作将让您返回到 Permissions(权限)选项卡。