Amazon Simple Storage Service
开发人员指南 (API Version 2006-03-01)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

在策略中指定委托人

Principal 元素用于指定被允许或拒绝访问资源的用户、账户、服务或其他实体。元素 Principal 仅在存储桶中起作用;用户策略中不必指定,因为用户策略直接附加到特定用户。下面是指定 Principal 的示例。有关更多信息,请参阅 IAM 用户指南 中的委托人

  • 要授予 AWS 账户权限,则使用以下格式标识此账户。

    Copy
    "AWS":"account-ARN"

    例如:

    Copy
    "Principal":{"AWS":"arn:aws-cn:iam::AccountNumber-WithoutHyphens:root"}

    Amazon S3 还支持规范用户 ID,这是 AWS 账户 ID 的模糊形式。可使用以下格式指定此 ID。

    Copy
    "CanonicalUser":"64-digit-alphanumeric-value"

    例如:

    Copy
    "Principal":{"CanonicalUser":"64-digit-alphanumeric-value"}

    要查找与 AWS 账户关联的规范用户 ID

    1. 转到 http://www.amazonaws.cn/,然后在 My Account/Console 下拉菜单中选择 Security Credentials

    2. 使用相应的账户证书登录。

    3. 单击 Account Identifiers (账户标识符)

  • 要向您的账户中的 IAM 用户授予权限,您必须提供 "AWS":"user-ARN" 名称值对。

    Copy
    "Principal":{"AWS":"arn:aws-cn:iam::account-number-without-hyphens:user/username"}
  • 要授予每个人权限,也称为匿名访问,请将 Principal 值设置为通配符“*”。例如,如果您将存储桶配置为网站,您将需要使该存储桶中的所有对象都可公开访问。以下项目具有相同的效果:

    Copy
    "Principal":"*"
    Copy
    "Principal":{"AWS":"*"}
  • 您可以要求您的用户创建一个 CloudFront 源访问身份,然后更改针对您的存储桶或存储桶中对象的权限,之后,他们便可以使用 CloudFront URL (而非 Amazon S3 URL) 访问您的 Amazon S3 内容。用于在 Principal 语句中指定源访问身份的格式是:

    Copy
    "Principal":{"CanonicalUser":"Amazon S3 Canonical User ID assigned to origin access identity"}

    有关更多信息,请参阅使用源访问身份限制在Amazon CloudFront 开发人员指南中对您的 Amazon S3 内容的访问。

有关其他访问策略语言元素的更多信息,请参阅访问策略语言概述