示例会话策略 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

示例会话策略

InAmazon Transfer Family,则只有在您向 Amazon S3 传输或从 Amazon S3 传输时才支持会话策略。

注意

会话策略的最大长度是 2048 个字符。有关详细信息,请参阅策略请求参数(对于 )CreateUser操作API 参考.

以下示例策略是一个会话策略,该策略限制用户访问home只有目录。

注意

如果您的 Amazon S3 存储桶使用Amazon Key Management Service(Amazon KMS),您必须在策略中指定其他权限。有关详细信息,请参阅数据加密。此外,您可以查看有关会话策略中的IAM 用户指南.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowListingOfUserFolder", "Action": [ "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::${transfer:HomeBucket}" ], "Condition": { "StringLike": { "s3:prefix": [ "${transfer:HomeFolder}/*", "${transfer:HomeFolder}" ] } } }, { "Sid": "HomeDirObjectAccess", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObjectVersion", "s3:GetObjectACL", "s3:PutObjectACL" ], "Resource": "arn:aws:s3:::${transfer:HomeDirectory}/*" } ] }

在前面的示例策略中,请注意transfer:HomeFoldertransfer:HomeBucket, 和transfer:HomeDirectory策略参数。这些参数是为HomeDirectory(为用户配置),如HomeDirectory实施 API Gateway 方法. 这些参数具有以下定义:

  • 这些区域有:transfer:HomeBucket参数被替换为HomeDirectory.

  • 这些区域有:transfer:HomeFolder参数将替换为HomeDirectory参数。

  • 这些区域有:transfer:HomeDirectory参数具有前导正斜杠(/),以便它可以作为 S3 Amazon 资源名称 (ARN) 的一部分使用Resource网页。

注意

如果您使用的是逻辑目录,也就是说,用户的homeDirectoryTypeLOGICAL— 这些策略参数 (HomeBucketHomeDirectory, 和HomeFolder)不支持。

例如,假设HomeDirectory为 “Transfer Family” 用户配置的参数为/home/bob/amazon/stuff/.

  • transfer:HomeBucket设置为/home.

  • transfer:HomeFolder设置为/bob/amazon/stuff/.

  • transfer:HomeDirectory变为home/bob/amazon/stuff/.

第一个"Sid"允许用户列出所有从/home/bob/amazon/stuff/.

第二个"Sid"限制用户putget访问相同的路径/home/bob/amazon/stuff/.