Há um intervalo no qual alguns usuários podem gravar seus dados para fins de backup.
Eles usam s3cmd para put novos arquivos em seus blocos.
Eu gostaria de aplicar uma política de não destruição nesses buckets - ou seja, deve ser impossível para os usuários destruírem dados, eles devem apenas poder adicionar dados.
Como posso criar uma política de bucket que permita a um determinado usuário colocar um arquivo, se ele ainda não existir, e não permitir que ele faça mais nada com esse intervalo.
Considere a possibilidade de ativar controle de versão para o intervalo. Dessa forma, os usuários podem alterar e excluir o que desejam, mas nenhum dado é realmente excluído, exceto por chamadas específicas para excluir versões antigas. Além disso, existe a possibilidade de ativar a exclusão do MFA, o que significa que você precisará de um token de autenticação de vários fatores para poder excluir permanentemente qualquer coisa.
Você pode usar o gerador de políticas do Amazon para gerar facilmente novas políticas.
Você pode conceder permissões a alguém apenas para ListBuckets e PutObject apenas. O problema é que PutObject também pode atualizar os objetos. Não tenho certeza se você pode separar os dois usando uma política. Contanto que sua aprovação com os usuários possam atualizar e adicionar, a política é bem simples.
{
"Id": "Policy1334428511844",
"Statement": [
{
"Sid": "Stmt1334428508621",
"Action": [
"s3:GetObject",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:PutObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::<bucket>\<folder>",
"Principal": {
"AWS": [
"<account-id>"
]
}
}
}