Permissions 如何删除“;删除“;对AmazonS3的许可
在AmazonS3控制台中,我只看到“上传/删除”的权限选项。是否有允许上载但不允许删除的方法?您在中直接看到的权限基于S3可用的初始且相对简单的权限,这基本上区分了读写权限,请参阅:Permissions 如何删除“;删除“;对AmazonS3的许可,permissions,amazon-s3,Permissions,Amazon S3,在AmazonS3控制台中,我只看到“上传/删除”的权限选项。是否有允许上载但不允许删除的方法?您在中直接看到的权限基于S3可用的初始且相对简单的权限,这基本上区分了读写权限,请参阅: 读取-允许被授权人列出bucket中的对象 写入-允许受让人创建、覆盖和删除 水桶 通过添加(应用于bucket级别的权限)和(应用于用户级别的权限),可以解决这些限制,并且这三者也可以一起使用(这可能会变得相当复杂,如下所述),请参阅整个图片 您的用例可能需要相应的bucket策略,您也可以直接从S3控制台
- 读取-允许被授权人列出bucket中的对象
- 写入-允许受让人创建、覆盖和删除 水桶
{
“声明”:[
{
“行动”:[
“s3:PutObject”
],
“效果”:“允许”,
“资源”:“arn:aws:s3:::/”,
“委托人”:{
“AWS”:[
"*"
]
}
}
]
}
根据您的用例,您可以通过组合各种允许和拒绝操作等轻松地组合相当复杂的策略-这显然也会产生无意中的权限,因此正确的测试像往常一样是关键;因此,请注意使用或时的含义
最后,您可能还想看看我的答案,它解决了策略中另一个常见的陷阱。是的,
s3:DeleteObject
是一个选项:
但是,在更改现有对象(这将允许有效地删除它)和创建新对象之间没有区别。您可以将无删除策略附加到s3存储桶。例如,如果您不希望此IAM用户对任何存储桶或任何对象执行任何删除操作,可以设置如下内容:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1480692207000",
"Effect": "Deny",
"Action": [
"s3:DeleteBucket",
"s3:DeleteBucketPolicy",
"s3:DeleteBucketWebsite",
"s3:DeleteObject",
"s3:DeleteObjectVersion"
],
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
此外,您可以使用策略模拟器检查您的策略,以检查您的设置是否符合预期
希望这有帮助 这非常有效。多亏了庞沃拉提马诺斯罗伊。将其上述政策组合如下:
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:GetObjectAcl",
"s3:PutObjectAcl",
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:PutBucketAcl",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::mybucketname/*",
"Condition": {}
},
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "*",
"Condition": {}
},
{
"Effect": "Deny",
"Action": [
"s3:DeleteBucket",
"s3:DeleteBucketPolicy",
"s3:DeleteBucketWebsite",
"s3:DeleteObject",
"s3:DeleteObjectVersion"
],
"Resource": "arn:aws:s3:::mybucketname/*",
"Condition": {}
}
]
}
在主体元素中指定用户时,不能使用通配符(*)表示“所有用户”。主体必须始终命名一个或多个特定用户。提及-
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:GetObjectAcl",
"s3:PutObjectAcl",
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:PutBucketAcl",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::mybucketname/*",
"Condition": {}
},
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "*",
"Condition": {}
},
{
"Effect": "Deny",
"Action": [
"s3:DeleteBucket",
"s3:DeleteBucketPolicy",
"s3:DeleteBucketWebsite",
"s3:DeleteObject",
"s3:DeleteObjectVersion"
],
"Resource": "arn:aws:s3:::mybucketname/*",
"Condition": {}
}
]
}