amazon-web-services - AWS S3 CloudFormation 只读权限-6ren

amazon-web-services - AWS S3 CloudFormation 只读权限

转载作者：行者123 更新时间：2023-12-03 07:31:53

25

4

我正在尝试创建两个用户并授予 user1 对 s3 存储桶的只读权限，我还需要授予 user2 读写访问权限。这是我到目前为止所做的事情

AWSTemplateFormatVersion: "2010-09-09"


Resources:
  s3Bucket:
    Type: AWS::S3::Bucket
    Properties:
      AccessControl: Private

  User1:
    Type: AWS::IAM::User

  User2:
    Type: AWS::IAM::User

  User1Key:
    Type: AWS::IAM::AccessKey
    Properties:
      UserName: !Ref 'User1'

  User2Key:
    Type: AWS::IAM::AccessKey
    Properties:
      UserName: !Ref 'User2'
Outputs:
  AccessKey:
    Value: !Ref 'User1Key'
    Description: AWSAccessKeyId of User 1
  SecretKey:
    Value: !GetAtt [User1Key, SecretAccessKey]
    Description: AWSSecretAccessKey of User 1
  AccessKey2:
    Value: !Ref 'User2Key'
    Description: AWSAccessKeyId of User 2
  SecretKey2:
    Value: !GetAtt [User2Key, SecretAccessKey]
    Description: AWSSecretAccessKey of User 2

我不知道如何实现

最佳答案

其中一种方法是使用 IAM 策略来实现相同的目的。

看看下面的代码。我们正在创建两种策略，一种用于读取，一种用于写入。一个用户同时分配有读取和写入策略，另一用户仅分配有读取策略。

AWSTemplateFormatVersion: "2010-09-09"

Resources:
  s3Bucket:
    Type: AWS::S3::Bucket
    Properties:
      AccessControl: Private

  S3ReadPolicy:
    Type: "AWS::IAM::Policy"
    Properties:
      PolicyName: "S3ReadPolicy"
      PolicyDocument:
        Statement:
          - Action: s3:GetObject
            Effect: Allow
            Resource: !Sub "arn:aws:s3:::${s3Bucket}/*"
          - Action: s3:ListBucket
            Effect: Allow
            Resource: !Sub "arn:aws:s3:::${s3Bucket}"
      Users:
        - Ref: User1
        - Ref: User2

  S3WritePolicy:
    Type: "AWS::IAM::Policy"
    Properties:
      PolicyName: "S3WritePolicy"
      PolicyDocument:
        Statement:
          - Action: s3:PutObject
            Effect: Allow
            Resource: !Sub "arn:aws:s3:::${s3Bucket}/*"
      Users:
        - Ref: User2        

  User1:
    Type: AWS::IAM::User

  User2:
    Type: AWS::IAM::User

  User1Key:
    Type: AWS::IAM::AccessKey
    Properties:
      UserName: !Ref "User1"

  User2Key:
    Type: AWS::IAM::AccessKey
    Properties:
      UserName: !Ref "User2"
Outputs:
  AccessKey:
    Value: !Ref "User1Key"
    Description: AWSAccessKeyId of User 1
  SecretKey:
    Value: !GetAtt [User1Key, SecretAccessKey]
    Description: AWSSecretAccessKey of User 1
  AccessKey2:
    Value: !Ref "User2Key"
    Description: AWSAccessKeyId of User 2
  SecretKey2:
    Value: !GetAtt [User2Key, SecretAccessKey]
    Description: AWSSecretAccessKey of User 2

希望这有帮助

关于amazon-web-services - AWS S3 CloudFormation 只读权限，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/59585116/

25

4

0

文章推荐： amazon-web-services - 如何将ELB面向公众、私有(private)？

文章推荐： amazon-ec2 - 将 SSM 参数设置为 EC2 的环境变量 - 不起作用

文章推荐： aws-lambda - AWS Lambda/SAM : How to get invocation URI from CLI?

aws-cloudformation - Cloudformation 更新的试运行
有没有办法在试运行模式下运行 AWS cloudformation 更新？因为我意识到 aws validate 不会拾取所有错误，并且当您运行更新时会抛出新错误。最佳答案最接近的方法是运行模拟测
aws-cloudformation - 具有方法限制的使用计划的 Cloudformation
我是 cloudformation 的新手，我正在尝试按照 AWS 文档创建具有方法限制的使用计划。我需要定义一个 ApiStage具有 Throttle 属性。我尝试了以下方法，但收到错误 - 属
aws-cloudformation - Cloudformation 堆栈创建策略
我正在整理一个用于运行 cloudformation/sam 的角色/策略，以尽可能地限制访问。是否有一组通用的策略操作应该用于运行 create-stack？这是一个代码构建，我使用它在应用程序运
aws-cloudformation - Cloudformation 堆栈可以知道它是否正在创建或更新吗？
我正在尝试创建一个资源，其属性之一不是常量值。听起来像是堆栈参数的工作，只不过它是一个在某些情况下可以采用 Ref 函数形式的字符串。具体来说，如果是初始创建，我希望参数值是对另一个资源的 Ref，如
aws-cloudformation - CloudFormation 将根设备与已停止的实例分离
我的实际任务是: 在 CloudFormation 外部创建 AMI 使用 CloudFormation 从 AMI 启动实例分离所有现有卷(包括根卷和数据卷) 附加根据最新快照创建的新卷(根卷和数
aws-cloudformation - Cloudformation 未使用我的模板创建标签
我在 cloudformation 中有一个启动实例的模板。它工作正常，但它没有创建我在模板中提到的标签。下面是我的模板 { "AWSTemplateFormatVersion": "2010-0
aws-cloudformation - CloudFormation 一致性包
我尝试通过 Cloudformation 使用 AWS Conformance Pack。我创建了一些非常简单的东西: 以下堆栈创建 S3 存储桶 + 一致性包。然后我将一致性包模板存储到另一个 S3
aws-cloudformation - Cloudformation 自定义资源触发器
我的目标是编写一个 Lambda 函数，根据标签将角色附加到 EC2 实例。因此，每当创建新的 Ec2 实例时，都必须自动为其附加一个角色。我希望根据 EC2 实例状态更改(正在运行)触发 lambd
aws-cloudformation - CloudFormation OpenVPN
我想使用 CloudFormation 配置 OpenVPN，我想我可以从市场获取 AMI ID 并启动它，因为我想启动一个具有 10 个连接的实例，但不幸的是我无法从市场获取 AMI ID 。如何获
aws-cloudformation - Cloudformation 证书失败
我有一个正在创建 ACM 证书的 cloudformation 堆栈。昨天的代码运行良好，因此我将其移至嵌套堆栈中。该模板来自一个非常漂亮的示例。我有一个托管区域，这就是我请求证书的地方，模板有一个
aws-cloudformation - CloudFormation 是否目标名称或资源？
我目前正在使用 terraform 和 CloudFormation 之间犹豫。有一个问题我还没有看到答案(或者也许，我只是还没有找到它)。在 terraform 中，您可以为所有事物指定准确的名称
aws-cloudformation - Cloudformation 模板验证错误？
我收到以下错误，但不知道它来自哪里，希望有人可以提供帮助。模板验证错误:模板格式错误:任何 Properties 成员都必须是 JSON 对象。 cloudformation脚本 { "AWST
aws-cloudformation - 用于多个参数文件和单个模板的 CloudFormation
我目前将所有参数存储在 Systems Manager Parameter Store 中，并在 CloudFormation 堆栈中引用它们。我现在陷入了同一 Cloudformation 模板的
aws-cloudformation - Cloudformation 路由错误
我正在创建一条通往互联网网关的公共(public)路由。当我通过 GUI 进行配置时，完全没有问题。当我尝试通过我的 Cloudformation 模板执行此操作时，每次都会失败。这是网关的构建，没有
aws-cloudformation - cloudformation 模板中没有输出部分
在cloudformation模板中，有一个输出部分，用于与跨堆栈对话。如果我们在一个 AWS 账户中只创建一个堆栈，那么这部分不应存在，这样说是否正确？最佳答案输出部分可用于通过 Export
aws-cloudformation - Cloudformation - 父堆栈的映射是否传递给子堆栈？
我有以下结构(几乎是样板文件)。我的问题是，我在 ParentStack 中定义的映射在 ChildSTack 中可用还是我需要复制它们？我知道我可以将参数传递给 ChildStack，但想知道 Ma
aws-cloudformation - CloudFormation - 访问子嵌套堆栈中父堆栈的输出
我有一个主 Cloudformation 模板，它调用两个子模板。我运行了第一个模板，并在资源的 Outputs 部分中捕获了输出。我已经在嵌套的第二个模板中使用 ChildStack01 输出值进行
aws-cloudformation - Cloudformation 漂移检查何时发生？
除了Web控制台中的“检查漂移”功能之外，是否还有其他触发器可以进行检查？ cloudformation 是否会在堆栈更新之前自动检查偏差？假设我有一个创建 s3 存储桶的 cf 堆栈。然后我从 W
aws-cloudformation - Cloudformation 模板验证器
有没有办法在 CFN 模板中包含自定义验证器？我知道我们可以像这样添加规则执行: https://aws.amazon.com/blogs/mt/how-to-perform-cross-param
aws-cloudformation - CloudFormation 循环依赖
我正在使用 CloudFormation 模板创建 KMS key ，然后使用该模板在另一个模板中创建 IAM 角色，因为它引用了 KMS key 。需要更新创建 KMS key 的堆栈以将 IAM

首页

博学

6Ren·AI

商城

amazon-web-services - AWS S3 CloudFormation 只读权限