Json 我可以在AWS IAM策略中使用资源arn中的PrincipalTag来授权团队吗?
我有根据团队名称命名的s3存储桶。例如,如果我想通过在条件运算符中使用PrincipalTag来提供Get、List权限,那么下面的策略是有效的。但我必须通过更改每个团队的S3 arn来定义类似的策略Json 我可以在AWS IAM策略中使用资源arn中的PrincipalTag来授权团队吗?,json,amazon-web-services,amazon-s3,amazon-iam,Json,Amazon Web Services,Amazon S3,Amazon Iam,我有根据团队名称命名的s3存储桶。例如,如果我想通过在条件运算符中使用PrincipalTag来提供Get、List权限,那么下面的策略是有效的。但我必须通过更改每个团队的S3 arn来定义类似的策略 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resour
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "*"
},
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::companyName-TeamName*",
"arn:aws:s3:::companyName-TeamName*/*"
],
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/teamname": "${aws:PrincipalTag/teamname}"
}
}
}
]
}
如果我想使用下面的PrincipalTag定义资源arn,该怎么办
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "*"
},
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::companyName-${aws:PrincipalTag/teamname}*",
"arn:aws:s3:::companyName-${aws:PrincipalTag/teamname}*/*"
],
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/teamname": "${aws:PrincipalTag/teamname}"
}
}
}
]
}
所有团队都扮演他们的角色,其中有一个标签“团队名称”:“他们的团队名称”
我可以这样定义一个策略吗?这将减少策略的冗余。我不想在参考资料部分中定义所有S3 ARN,它将是一个长长的团队及其存储桶列表