AmazonResourceName元素如何获得策略编辑器中的唯一动作
优采云 发布时间: 2021-06-29 07:25AmazonResourceName元素如何获得策略编辑器中的唯一动作
声明是对单个权限的正式描述。一个语句有五个要素,即:
•效果元素
•主要元素
•AWS 服务元素
•动作元素
•亚马逊资源名称 (ARN) 元素
Effect 元素,选择 Allow 允许用户读取文件。
主元素,在输入框中添加“*”。此通配符允许匿名用户读取此文件。
AWS Service 元素,*敏*感*词*自动将 Amazon S3 插入输入框。
Actions 元素,勾选“获取对象”。这是读取文件所需的唯一操作。您不需要此列表中的任何其他操作。
Amazon Resource Name 元素设置为以下格式:arn:aws:s3::/
选择您创建的bucket的名称(如bucket01)。设置key名称为*。在输入框中输入以下内容:arn:aws:s3:::bucket01/*
跳过此语句的条件,例如日期、位置、版本 ID、最大键值和其他限制。
准备好后,单击“添加语句”按钮。很快您就会看到该语句的结果中添加了哪些元素。
如果您对此结果感到满意,请继续下一步。
第 3 步:创建存储桶策略
点击生成策略按钮。这将生成您需要添加到存储桶中的策略。该策略是用访问策略语言编写的。
{
"Id": "Policy93",
“声明”:[
{
"Sid": "Stmt62",
“动作”:[
"s3:GetObject"
],
"效果": "允许",
"Resource": "arn:aws:s3:::bucket01/*",
“校长”:{
“AWS”:[
“*”
]
}
}
]
}
如果脚本显示您提供了错误的存储桶名称,您可以对其进行编辑。一旦您对此策略感到满意,请将其复制到剪贴板。您需要将其粘贴到策略编辑器中。
如何获取策略编辑器:
•在 AWS 管理控制台中打开您的存储桶
•输入属性并点击权限
•选择添加存储桶策略
编辑器打开后,粘贴此策略。然后点击保存。编辑器提供了一个指向示例 Bucket 策略的链接。
在第二个 S3 存储桶策略示例中,存储桶所有者完全控制对所有账户的访问权限,除了一个账户,允许他们上传文件。存储桶所有者设置特定条件。账号必须满足授权访问条件才能上传文件。 PutObject 操作用于向桶中添加文件。
{
"版本":"2012-10-17",
“声明”:[
{
"Sid":"111",
"效果":"允许",
“校长”:{
"AWS":"123456789"
},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::bucket01/*"
},
{
"Sid":"112",
"Effect":"拒绝",
“校长”:{
"AWS":"123456789"
},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::bucket01/*",
“条件”:{
"StringNotEquals":{
"s3:x-amz-grant-full-control":[
"emailAddress="
]
}
}
}
]
}
这个脚本开头先声明,只有在不满足第二个声明的条件时,才允许账号123456789上传文件到bucket01。如果账号123456789没有给bucket owner发邮件授权他完全控制,那么上传文件会失败。
简而言之,您需要存储桶策略来授权或拒绝帐户读取文件并将其上传到您的存储桶。 Amazon 提供了操作存储桶和对象的参考。