设想:
我在同一个组织中有 3 个 AWS 根账户。
- admin@mydomain.com
- user1@mydomain.com
- user2@mydomain.com
user1
创建了一个 S3 存储桶B1
。我希望user2
并且admin
能够B1
在他们自己的 S3 仪表板上查看和浏览。这可能吗?我需要制定什么政策?我在哪里创建这些策略以及如何创建它们?
**原始问题已被编辑。下面的一些答案可能不再相关
我在同一个组织中有 3 个 AWS 根账户。
user1
创建了一个 S3 存储桶B1
。我希望user2
并且admin
能够B1
在他们自己的 S3 仪表板上查看和浏览。这可能吗?我需要制定什么政策?我在哪里创建这些策略以及如何创建它们?
**原始问题已被编辑。下面的一些答案可能不再相关
据我所知,我无法在 root 用户之间进行 S3 存储桶控制台共享。我终于设法user1
与 IAM 用户共享创建的存储桶。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-xxxvvvwww8"
}
}
}
]
}
经过严格的试错测试,似乎我们甚至不需要存储桶策略来实现这一点。我已经删除了存储桶策略,它仍然有效!
您的 IAM 用户将无法看到其 S3 控制台仪表板上列出的存储桶。该共享存储桶只能通过直接链接访问。因此,您的根用户必须将 URL 即提供https://s3.console.aws.amazon.com/s3/buckets/bucket1/
给您的 IAM 用户
我相信您需要做的就是添加Principal: "*"
到策略中。这将向任何人开放访问权限,但条件会将其限制为组织。