1

我们希望在一个存储桶中创建逻辑文件夹,但不超过 100 个存储桶。假设我们只有一个 AWS 账户,我们希望将上传的文档分发到这 100 个存储桶中。对所有存储桶执行 IAM 策略的最佳实践是什么,以便让多个用户(只有文档创建者)可以查看/删除上传的文档?

谢了。

4

2 回答 2

1

我不确定我是否完全理解您的用例。为什么要在用户之间分配存储桶?

关于将 IAM 用于用户的“主目录”的最佳实践,您可以在AWS Docs中找到:

{
   "Statement":[{
      "Effect":"Allow",
      "Action":["s3:PutObject","s3:GetObject","s3:GetObjectVersion",
      "s3:DeleteObject","s3:DeleteObjectVersion"],
      "Resource":"arn:aws:s3:::my_bucket/home/user_name/*"
   }
   ]
}
于 2012-12-06T16:01:05.023 回答
0

正如@Guy 所提到的,每个用户的文件夹优于每个用户的存储桶,但在任何一种情况下,您都可以将策略变量 ${aws:username}用于一个规则而不是多个规则。请参阅他们文档中的示例

就您而言,我认为您可以将其放入桶中,例如:

{
   "Statement":[{
      "Effect":"Allow",
      "Action":["s3:*"],
      "Resource":"arn:aws:s3:::bucket-for-${aws:username}/*"
   }]
}
于 2014-03-21T15:11:18.713 回答