我正在尝试为 IAM 帐户创建一个策略,该策略将允许员工对我们的 S3(生命周期到 Glacier)存储桶拥有完全读取权限,不不必要的写入能力,以避免对我们的备份造成任何损害。
此版本的读取需要包含启动文件恢复(Glacier)并下载的能力。
我制定了一项政策,允许全面列表和读访问级别组,但是当我尝试通过 S3 浏览器启动文件恢复时出现访问被拒绝错误。
我尝试了多种方法,包括反复试验,并猜测哪些操作听起来相关,但没有成功。
我应该从中选择哪些最少的行动写/权限管理/标记群组以确保可以检索 Glacier 文件,而无需不必要的写访问权限?
谢谢
答案1
正确的选择是s3:恢复对象
来源:Michael - sqlbot 2017 年 12 月 8 日 13:08