Amazon S3, wie erstellt man einen Benutzer, der Buckets erstellen und verwalten kann (lesen, schreiben)?

Question

Ich habe versucht, eine IAM-Richtlinie mit genau dem, was ich wollte, zu erstellen, aber es erfordert einen ARN, und ich weiß nicht, was ich dort setzen soll.

Was ich möchte, ist einfach: Haben Sie einige Anmeldeinformationen, die ich verwenden kann, um Eimer zu erstellen, Dateien zu erstellen und/oder sie zu entfernen, sonst nichts.

Wie kann ich das erreichen?

Answer 1

Streng genommen, wird diese Politik erlauben Eimer Erstellung, Objekterstellung und Objektlöschung:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Sid": "Statement1", 
      "Effect": "Allow", 
      "Action": [ 
       "s3:CreateBucket" 
      ], 
      "Resource": [ 
       "*" 
      ] 
     }, 
     { 
      "Sid": "Statement2", 
      "Effect": "Allow", 
      "Action": [ 
       "s3:DeleteObject", 
       "s3:PutObject" 
      ], 
      "Resource": [ 
       "*" 
      ] 
     } 
    ] 
} 

aber es ist ein bisschen einschränkend. Beispielsweise können Objekte mit aws s3api delete-object gelöscht werden, aber aws s3 rm wird fehlschlagen, weil es andere Aufrufe als Teil des Entfernungsprozesses ausführt. Sie müssen also möglicherweise experimentieren, damit es für Ihre Anforderungen vollständig funktioniert.

Ich habe sie als zwei separate Aussagen aufgeführt, weil Sie sie auf bestimmte Eimer beschränken möchten, wäre die Syntax in diesem Fall:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Sid": "Statement1", 
      "Effect": "Allow", 
      "Action": [ 
       "s3:CreateBucket" 
      ], 
      "Resource": [ 
       "*" 
      ] 
     }, 
     { 
      "Sid": "Statement2", 
      "Effect": "Allow", 
      "Action": [ 
       "s3:DeleteObject", 
       "s3:PutObject" 
      ], 
      "Resource": [ 
       "arn:aws:s3:::my-bucket/*" 
      ] 
     } 
    ] 
} 

Die zweite Anweisung erteilt Berechtigungen innerhalb eines bestimmten Eimer .