gpt4 book ai didi

regex - 基于命名空间或标签的 Amazon AWS S3 IAM 策略

转载 作者:行者123 更新时间:2023-12-02 10:59:48 28 4
gpt4 key购买 nike

我有许多以与 assets-<something> 中相同的命名空间开头的存储桶。 ,所以我想知道向 IAM 组授予权限且维护需求最少的最佳选择是什么。

是否可以在 ARN 中使用任何类型的正则表达式?或者也许我可以使用标签? EC2 的条件为 ResourceTag ,但 S3 似乎不存在。

或者我应该为每个存储桶添加新的 ARN 到策略中吗?

同样,我正在寻找最小的解决方案,因此将新策略附加到每个存储桶本身似乎有点多。

最佳答案

IAM 策略可以根据通配符授予对 Amazon S3 存储桶的访问权限。

例如,此策略授予列出存储桶内容并从存储桶检索对象的权限,但前提是存储桶以 assets- 开头:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SomeSID",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::assets-*",
"arn:aws:s3:::assets-*/*"
]
}
]
}

请注意,Resource 部分指的是存储桶(对于 ListBucket)和存储桶的内容(对于 GetObject)。

通配符也适用于存储桶名称中的其他位置,例如:arn:aws:s3:::*-record

无法根据标签授予对 Amazon S3 存储桶的访问权限。

ARN 格式

顺便说一句,如果您想知道为什么 Amazon S3 存储桶的 ARN(Amazon 资源名称)中有这么多冒号,那是因为 ARN 的正常格式是:

arn:aws:<service name>:<region>:<account>:<resource>

对于 Amazon S3 存储桶,可以从存储桶名称(全局唯一)中辨别区域和账户,因此这些参数留空。

关于regex - 基于命名空间或标签的 Amazon AWS S3 IAM 策略,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27149716/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com