周围有类似的问题,但似乎没有一个能直接回答我(或者我对 AWS 太陌生,无法自己连接这些点。)如果这很容易搜索,请道歉。我已经尝试了很多天了。
我想为我的 Glacier 创建一个可以分配给 IAM 用户的策略,该策略将允许任何 IAM 用户有权创建文件库,然后允许他们访问他们创建的文件库的大部分权限。(基本上都是删除)
用例/场景是这样的:我有多个 Synology NAS,分布在多个站点。我现在让他们都使用自己的 IAM 凭据备份到冰川帐户。到目前为止,一切都很好。当他们需要进行还原(甚至只是列出保管库)时,问题就变成了,他们会看到帐户中的所有保管库。我不希望他们看到其他 NAS 的保管库/备份,因为它可能会造成混淆并且与该站点无关。到目前为止,我只是自己完成所有 Glacier 操作,但这对我们来说无法扩展。(我们打算再增加大约 25 个 NASes/站点,目前运行大约 8-10 个)
我的假设是我应该能够以某种方式使用条件语句和 vaults/${userid} 的一些变体来做到这一点,但不能完全找到/得到它。
我无法在创建保管库时影响任何内容(例如添加标签),因为创建保管库的是 Synology Glacier 应用程序,因此无法对其进行修改。
我见过一些像 EC2 这样使用事后标记的解决方案。如果我可以避免它,我宁愿不走这条路,因为它涉及我们不使用的其他服务,而且我对(CloudStream(?),CloudWatch(?)我认为)知之甚少。
我还考虑了多个关联帐户,如果这是唯一的方法,那么我会这样做,但无法将保险库移动到新帐户 - 这意味着必须为这 8 个帐户重新开始 - 这是一个不太有吸引力的选择。
似乎这方面的政策应该很容易。希望是这样,而且只需点击几下我目前的政策写作技巧。