我是一名使用 Amazon S3 的管理员并创建了一个 S3 存储桶。在权限和访问控制列表下,我已指定 AWS 用户具有“列出对象”和“读取存储桶权限”。但是,这些用户无法使用 AWS CLI 列出对象或从存储桶中读取。
作为管理员,我是否需要执行其他步骤才能使用 AWS CLI 在 S3 中授予用户权限,或者他们需要做些什么来实现我使用 AWS CLI 授予他们的访问权限?
【问题讨论】:
标签: amazon-web-services amazon-s3 aws-cli
虽然授予对存储桶本身的访问权限可以允许用户访问该存储桶,但用户本身也需要权限才能调用 Amazon S3 服务。如果他们没有这样的权限,他们将无法访问任何存储桶。
授予特定用户访问 Amazon S3 存储桶的最佳方法是使用 IAM 策略。可以将此策略置于 IAM 用户。
如果您有一组用户应该获得相同的权限,您可以创建一个 IAM 组,将用户放入组中,然后将策略添加到 IAM 组。
这是来自Writing IAM Policies: How to Grant Access to an Amazon S3 Bucket | AWS Security Blog 的示例策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:ListBucket"],
"Resource": ["arn:aws:s3:::test"]
},
{
"Effect": "Allow",
"Action": ["s3:GetObject"],
"Resource": ["arn:aws:s3:::test/*"]
}
]
}
这将授予列出 test 存储桶的内容并从存储桶中检索对象的权限。
【讨论】: