使用 Amazon S3 控制台添加桶策略
您可以使用 Amazon 策略生成器
确保保存策略之前解决来自 Amazon Identity and Access Management Access Analyzer 的安全警告、错误、一般警告和建议。IAM Access Analyzer 将根据 IAM policy grammar(策略语法)和 best practices(最佳实践)运行策略检查,以验证您的策略。这些检查项生成结果并提供可操作的建议,可帮助您编写可操作且符合安全最佳实践的策略。要了解有关使用 IAM Access Analyzer 验证策略的更多信息,请参阅《IAM 用户指南》中的 IAM Access Analyzer 策略验证。要查看 IAM Access Analyzer 返回的警告、错误和建议的列表,请参阅 IAM Access Analyzer 策略检查引用。
创建或编辑桶策略
登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/
。 -
在左侧导航窗格中,选择桶。
-
在 Buckets(桶)列表中,请选择要为其创建或编辑桶策略的桶的名称。
-
选择 Permissions 选项卡。
-
在 Bucket policy(桶策略)下,请选择 Edit(编辑)。将出现 Edit bucket policy(编辑桶策略)页面。
-
在 Edit bucket policy(编辑桶策略)页面上,执行以下操作之一:
-
要查看《Amazon S3 用户指南》中的桶策略示例,请选择Policy examples(策略示例)。
-
要自动生成策略或编辑 Policy(策略)部分中的 JSON,请选择 Policy generator(策略生成器)。
如果选择 Policy generator(策略生成器),Amazon 策略生成器将在新窗口中打开。
-
在 Amazon 策略生成器页面上,对于选择策略类型,选择 S3 桶策略。
-
通过在提供的字段中输入信息来添加语句,然后选择 Add Statement(添加语句)。对所有您想添加的语句重复执行此步骤。有关这些字段的更多信息,请参阅 IAM 用户指南中的 IAM JSON 策略元素参考。
注意
为您方便起见,Edit bucket policy(编辑桶策略)页面会在 Policy(策略)文本字段上方显示当前桶的 Bucket ARN(桶 ARN)(Amazon 资源名称)。您可以复制此 ARN,以便在 Amazon 策略生成器页面上的语句中使用。
-
添加完语句后,请选择 Generate Policy(生成策略)。
-
复制生成的策略文本,请选择 Close(关闭),然后返回到 Amazon S3 控制台中的 Edit bucket policy(编辑桶策略)页面。
-
-
在 Policy(策略)框中,编辑现有策略或从 Amazon 策略生成器粘贴桶策略。确保保存策略之前解决安全警告、错误、一般警告和建议。
注意
桶策略的大小限制为 20 KB。
-
(可选)选择右下角的 Preview external access(预览外部访问),以预览新策略如何影响对资源的公有和跨账户访问。在保存策略之前,您可以检查策略是引入了新的 IAM Access Analyzer 发现结果还是解析了现有的发现结果。如果您没有看到活动的分析器,请在 IAM Access Analyzer 中选择 Go to Access Analyzer(转至 Access Analyzer)以创建账户分析器。有关更多信息,请参阅 IAM 用户指南中的预览访问权限。
-
请选择 Save changes(保存更改),此操作将让您返回到 Permissions(权限)选项卡。