Amazon S3:将管理限制为特定 S3 存储桶
此示例说明了如何创建基于身份的策略以限制 Amazon S3 存储桶对该特定存储桶的管理。此策略授予执行所有 Amazon S3 操作的权限,但拒绝访问除 Amazon S3 外的所有 Amazon Web Services 服务。请参阅以下示例。根据此策略,您只能访问可以对 S3 存储桶或 S3 对象资源执行的 Amazon S3 操作。此策略授予有计划地通过 Amazon API 或 Amazon CLI 完成此操作的必要权限。要使用此策略,请将示例策略中的斜体占位符文本
替换为您自己的信息。然后,按照创建策略或编辑策略中的说明操作。
如果将该策略与允许该策略拒绝的操作的其他策略(例如 AmazonS3FullAccess
警告
NotAction 和 NotResource 是必须谨慎使用的高级策略元素。该策略将拒绝对除 Amazon S3 以外所有 Amazon 服务的访问。如果将该策略挂载到用户,则授予其他服务访问权限的任何其他策略都会被忽略 (访问会被拒绝)。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": [ "arn:aws:s3:::
bucket-name
", "arn:aws:s3:::bucket-name
/*" ] }, { "Effect": "Deny", "NotAction": "s3:*", "NotResource": [ "arn:aws:s3:::bucket-name
", "arn:aws:s3:::bucket-name
/*" ] } ] }