使用 Amazon S3 控制台添加桶策略
您可以使用 Amazon 策略生成器
确保保存策略之前解决来自 Amazon Identity and Access Management Access Analyzer 的安全警告、错误、一般警告和建议。IAM Access Analyzer 将根据 IAM policy grammar(策略语法)和 best practices(最佳实践)运行策略检查,以验证您的策略。这些检查项生成结果并提供可操作的建议,可帮助您编写可操作且符合安全最佳实践的策略。要了解有关使用 IAM Access Analyzer 验证策略的更多信息,请参阅《IAM 用户指南》中的 IAM Access Analyzer 策略验证。要查看 IAM Access Analyzer 返回的警告、错误和建议的列表,请参阅 IAM Access Analyzer 策略检查引用。
有关对策略错误进行故障排查的指南,请参阅排查 Amazon S3 中的拒绝访问(403 禁止)错误。
创建或编辑桶策略
登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/
。 -
在左侧导航窗格中,选择桶。
-
在 Buckets(桶)列表中,请选择要为其创建或编辑桶策略的桶的名称。
-
选择权限选项卡。
-
在 Bucket policy(桶策略)下,请选择 Edit(编辑)。将出现 Edit bucket policy(编辑桶策略)页面。
-
在 Edit bucket policy(编辑桶策略)页面上,执行以下操作之一:
-
要查看《Amazon S3 用户指南》中的桶策略示例,请选择Policy examples(策略示例)。
-
要自动生成策略或编辑 Policy(策略)部分中的 JSON,请选择 Policy generator(策略生成器)。
如果选择 Policy generator(策略生成器),Amazon 策略生成器将在新窗口中打开。
-
在 Amazon 策略生成器页面上,对于选择策略类型,选择 S3 桶策略。
-
通过在提供的字段中输入信息来添加语句,然后选择 Add Statement(添加语句)。对所有您想添加的语句重复执行此步骤。有关这些字段的更多信息,请参阅 IAM 用户指南中的 IAM JSON 策略元素参考。
注意
为您方便起见,Edit bucket policy(编辑桶策略)页面会在 Policy(策略)文本字段上方显示当前桶的 Bucket ARN(桶 ARN)(Amazon 资源名称)。您可以复制此 ARN,以便在 Amazon 策略生成器页面上的语句中使用。
-
添加完语句后,请选择 Generate Policy(生成策略)。
-
复制生成的策略文本,请选择 Close(关闭),然后返回到 Amazon S3 控制台中的 Edit bucket policy(编辑桶策略)页面。
-
-
在 Policy(策略)框中,编辑现有策略或从 Amazon 策略生成器粘贴桶策略。确保保存策略之前解决安全警告、错误、一般警告和建议。
注意
桶策略的大小限制为 20 KB。
-
(可选)选择右下角的 Preview external access(预览外部访问),以预览新策略如何影响对资源的公有和跨账户访问。在保存策略之前,您可以检查策略是引入了新的 IAM Access Analyzer 发现结果还是解析了现有的发现结果。如果您没有看到活动的分析器,请在 IAM Access Analyzer 中选择 Go to Access Analyzer(转至 Access Analyzer)以创建账户分析器。有关更多信息,请参阅 IAM 用户指南中的预览访问权限。
-
请选择 Save changes(保存更改),此操作将让您返回到 Permissions(权限)选项卡。