permissions - 如何删除 Amazon S3 上的 "delete"权限

Question

在 Amazon S3 控制台中，我只看到“上传/删除”的权限选项。有没有办法允许上传但不允许删除？

Answer 1

您在 AWS Management Console 中看到的权限直接都是基于初始的，比较简单Access Control Lists (ACL)可用于 S3，它本质上区分了 READ 和 WRITE 权限，请参阅 Specifying a Permission :

• READ - Allows grantee to list the objects in the bucket
• WRITE - Allows grantee to create, overwrite, and delete any object in the bucket

这些限制已通过添加 Bucket Policies 得到解决。 (应用于存储桶级别的权限)和 IAM Policies (应用于用户级别的权限)，并且这三个也可以一起使用(这可能变得相当复杂，如下所述)，请参阅 Access Control对于整个画面。

您的用例可能需要相应的存储桶策略，您也可以直接从 S3 控制台添加该策略。单击添加存储桶策略打开存储桶策略编辑器，其中包含指向几个示例以及强烈推荐的 AWS Policy Generator 的链接。 ，它允许您针对您的用例构建策略。

对于其他锁定的存储桶，最简单的形式可能如下所示(请确保根据您的需要调整 Principal 和 Resource ):

{
  "Statement": [
    {
      "Action": [
        "s3:PutObject"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::<bucket_name>/<key_name>",
      "Principal": {
        "AWS": [
          "*"
        ]
      }
    }
  ]
}

根据您的用例，您可以通过组合各种 Allow 和 Deny 操作等轻松组合相当复杂的策略 - 这显然也会产生无意的权限，因此像往常一样正确的测试是关键；因此，请注意使用 Using ACLs and Bucket Policies Together 时的影响。或 IAM and Bucket Policies Together .

最后，你可能想看看我对 Problems specifying a single bucket in a simple AWS user policy 的回答。同样，它解决了另一个常见的政策陷阱。