3

我们是否可以编写一个 iam 策略来限制仅在存在标签时创建 s3 存储桶。我,e 用户应该能够创建 s3 存储桶,只有他存在某些标签。

4

3 回答 3

2

不,策略不应该以这种方式使用,但您可以这样解决问题:

1- 删除对 S3 存储桶的公共访问权限

2- 创建一个 web 应用程序(可能是一个简单的 html(托管在 s3 上),由 lambda 函数支持)让用户选择他们的文件上传到 S3 并提供一些标签

3-自定义验证通过后,调用 aws-sdk api 将文件上传到 S3

于 2017-12-17T06:13:20.253 回答
2

无法使用资源标签来标记用户;用户不支持它们

相反,您应该考虑使用 IAM 组,拒绝CreateBucket特定 IAM 组的权限,然后将该用户分配给该组。这样,该组中的用户将无权创建 S3 存储桶。

于 2017-12-17T13:43:03.967 回答
0

注意:我没有对此进行测试,但这已由 AWS 记录。

您可以使用 IAM 用户路径来执行此操作。例如,您可以创建“bucket_managers”的 IAM 用户路径。然后在您的策略中,您可以使用如下资源声明:

"Resource":"arn:aws:iam::<ACCOUNTNUMBER>:user/bucket_managers/*"

IAM 标识符

于 2017-12-17T18:50:49.087 回答