Amazon S3:限制管理特定的 S3 儲存貯體 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon S3:限制管理特定的 S3 儲存貯體

此範例會示範如何建立身分型政策,將 Amazon S3 儲存貯體的管理限制到特定儲存貯體。此政策授予執行所有 Amazon S3 動作的許可,但拒絕存取每個 AWS 服務,但 Amazon S3 除外。請參閱以下範例。根據此政策,您只能存取可對 S3 儲存貯體或 S3 物件資源執行的 Amazon S3 動作。此政策僅會授予從 AWS API 或 AWS CLI 以程式設計方式完成此動作的必要許可。若要使用此政策,請將範例政策中的斜體預留位置文字取代為您自己的資訊。然後,遵循建立政策編輯政策中的指示進行操作。

如果此政策與允許此政策拒絕之動作的其他政策 (例如 AmazonS3FullAccessAmazonEC2FullAccess AWS 受管政策) 組合使用,則拒絕存取。這是因為明確拒絕陳述式的優先順序會在允許陳述式。如需詳細資訊,請參閱AWS 強制執行程式碼邏輯如何評估請求以允許或拒絕存取

警告

NotActionNotResource 是必須謹慎使用的進階政策元素。此政策拒絕存取除 Amazon S3 以外的每個 AWS 服務。如果您將此政策連接到使用者,則會忽略向其他服務授予許可的任何其他政策,並拒絕存取。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        },
        {
            "Effect": "Deny",
            "NotAction": "s3:*",
            "NotResource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}