我希望能够允许通过 IAM 创建的用户在管理控制台中查看一个存储桶。此外,我希望将其限制在存储桶内的文件夹中,这样权限将是:
S3 Console access for my-bucket/folder/*
我如何使用策略生成器来做到这一点?我目前有:
{
"Statement": [
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": "*"
}
]
}
但是,当我修改资源位置时————arn:aws:s3:::my-bucket/folder它阻止用户使用控制台。这可能吗?我需要做什么才能解决这个问题?
答案1
您需要使用条件而不是将文件夹字符串添加到资源中,如下所示......
"Resource":"arn:aws:s3:::mybucket"
"Condition":{
"StringLike":{
"s3:prefix":"folder/*"
}
}