aws:PrincipalTag
可以在IAM 策略中设置多个值吗?
目前,我project
在他们的 JWT 中有一个属性的联合用户,根据这个值,我可以访问我的 s3 存储桶中的特定“文件夹”。
对于具有以下值的 JWT:
"https://aws.amazon.com/tags": {
"principal_tags": {
"project": [
"foo"
]
}
}
和我的 AWS 政策:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "TagBasedAccess",
"Effect": "Allow",
"Action": "s3:*",
"Resource": "arn:aws:s3:::myawesomebucket",
"Condition": {
"StringLike": {
"s3:prefix": "${aws:PrincipalTag/project}/*"
}
}
}
]
}
它成功授予用户访问权限arn:aws:s3:::myawesomebucket/foo/
。
现在我将使它适用于project
属性中的多个值(授予对多个 s3“文件夹”的访问权限)。但我不知道如何执行此操作。
编辑:
在 AWS 文档(AWS 文档)中:
您可以使用自定义分隔符在单个标签中包含多个值。在此示例中,您可以将
team = Engineering:QA
标签附加到 Zhang。要在此示例中使用团队标签控制对工程师的访问,您必须创建一个策略,以允许可能包括的每个配置Engineering
,包括Engineering:QA
但他们没有说如何执行此操作...