Amazon S3:将管理限制为特定 S3 存储桶 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon S3:将管理限制为特定 S3 存储桶

此示例说明了如何创建基于身份的策略以限制 Amazon S3 存储桶对该特定存储桶的管理。此策略授予执行所有 Amazon S3 操作的权限,但拒绝访问除 Amazon S3 外的所有 Amazon Web Services 服务。请参阅以下示例。根据此策略,您只能访问可以对 S3 存储桶或 S3 对象资源执行的 Amazon S3 操作。此策略授予有计划地通过 Amazon API 或 Amazon CLI 完成此操作的必要权限。要使用此策略,请将示例策略中的斜体占位符文本替换为您自己的信息。然后,按照创建策略编辑策略中的说明操作。

如果将该策略与允许该策略拒绝的操作的其他策略(例如 AmazonS3FullAccessAmazonEC2FullAccess Amazon 托管策略)一起使用,则访问会被拒绝。这是因为“显式拒绝”声明优先于“允许”声明。有关更多信息,请参阅 Amazon 执行代码逻辑如何评估允许或拒绝访问的请求

警告

NotActionNotResource 是必须谨慎使用的高级策略元素。该策略将拒绝对除 Amazon S3 以外所有 Amazon 服务的访问。如果将该策略挂载到用户,则授予其他服务访问权限的任何其他策略都会被忽略 (访问会被拒绝)。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        },
        {
            "Effect": "Deny",
            "NotAction": "s3:*",
            "NotResource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}