amazon-web-services - 如何获取用户的规范 ID 以添加 S3 权限

Question

我想为特定用户添加 S3 权限。 AWS 控制台要求我提供用户的规范 ID。
我使用了 AWS CLI 命令 aws iam list-users检索用户列表，但没有“规范 ID”字段，并且无法识别“用户 ID”，给我一条“无效 ID”消息。我也尝试了 ARN，但没有奏效。

Answer 1

要在存储桶上向 IAM 用户授予权限，您需要创建一个存储桶策略 - 这是一个 JSON 文档。 ACL 中的“访问其他 AWS 账户”选项用于授予对其他(完全独立的)根 AWS 账户的访问权限，而不是授予对您自己的根账户内的 IAM 用户的访问权限。

创建/编辑策略

要访问存储桶策略，请浏览到 S3 Web 控制台中的存储桶。在那里您将看到概览/属性/权限/管理选项卡。在权限下有一个名为“存储桶策略”的子选项卡。在 Bucket Policy 页面的底部有一个指向“Policy Generator”的链接，它将为您生成 JSON。 (或直接链接是 http://awspolicygen.s3.amazonaws.com/policygen.html )

确定要向其分配权限的 IAM 用户

要确定您要授予权限的 IAM 用户，您将使用 ARN(亚马逊资源名称)。 IAM 用户的 ARN 格式如下:“arn:aws:iam::{Account-ID}:user/{Username}”(注意花括号不是格式的一部分)。 IAM ARN 示例如下所示: arn:aws:iam::100123456789:user/Daniel

要获取您的数字帐户 ID，请以 root 用户身份登录并单击页面右上角的用户名并选择“我的帐户”(这会将您带到 https://console.aws.amazon.com/billing/home?#/account )。帐户 ID 列在页面顶部的“帐户设置”下。

将该用户 ARN 插入策略生成器的“主体”字段，然后从下拉列表中选择授予用户哪些操作。

指定授予权限的内容

要向存储桶或存储桶中的一组文件(对象)授予权限，您需要在“Amazon 资源名称”字段中输入一个标识存储桶或存储桶内对象子集的 ARN(例如，如果我有一个名为 daniels-stuff 的存储桶和该存储桶中名为 images 的文件夹，我想授予其访问权限，然后我可以提供一个 ARN，例如 _0x104567926

输入必要信息后点击“添加声明”，然后点击“生成策略”。请注意，您可以将多个语句(访问权限分配)放入一个策略中。

更多信息

最后，在 https://brandonwamboldt.ca/understanding-s3-permissions-1662/ 上有一个很好的 s3 存储桶策略入门，其中包括一些示例策略。

祝你好运(虽然我认为你现在可能已经解决了你的问题，但其他人可能会觉得这很有帮助)。