Amazon web services AWS IAM-可以在一个值中使用多个通配符(*)
在所有IAM策略示例中,他们都提到使用通配符(Amazon web services AWS IAM-可以在一个值中使用多个通配符(*),amazon-web-services,amazon-s3,amazon-iam,Amazon Web Services,Amazon S3,Amazon Iam,在所有IAM策略示例中,他们都提到使用通配符(*)作为“stuff”的占位符。但是,示例始终在末尾使用它们,和/或仅使用一个通配符进行演示(例如,使用../xyz/*列出文件夹“xyz”中的所有内容) 我找不到任何关于使用多个通配符的明确信息,例如,在多个存储桶中匹配子文件夹中的任何内容: arn:aws:s3:::mynamespace属性*/logs/* 允许某些内容在“生产”(mynamespace属性prod)和“沙盒”(mynamespace属性sand)存储桶中查看任何log文件。不
*../xyz/*arn:aws:s3:::mynamespace属性*/logs/*mynamespace属性prodmynamespace属性sandlog- 策略1:“允许对任何bucket拥有特定的S3权限”(例如编辑角色)
- 策略2:“拒绝所有S3操作,除非在用户文件夹中跨存储桶”(即只能查看其文件)
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ExplicitlyDenyAnythingExceptOwnNamedFolder",
"Action": [
"s3:*"
],
"Effect": "Deny",
"NotResource": [
"arn:aws:s3:::mynamespace-property*/subfolder/${aws:username}/*"
]
}
]
}
作为旁注,请注意
arn:aws:s3:::mynamespace属性*/${aws:username}/*arn:aws:s3:::mynamespace属性后缀/子文件夹/theuser/files…”arn:aws:s3:::mynamespace属性后缀/theuser/files…”
是的,它会工作的 从: 您可以将通配符用作资源ARN的一部分。你可以用 任何ARN段(零件)内的通配符(*和?) 用冒号分隔)。星号(*)表示以下各项的任意组合: 字符和问号(?)表示任何单个字符。 您可以使用多个*或?每个段中的字符,但 通配符不能跨段
我要说的是,“您可以使用多个”是文档中的一个输入错误,它们的意思是“您可以使用”。我可以确认
arn:aws:cloudformation::123456789012:stack/Foo/*…通配符不能跨段。资源:“*”资源:“*”**