Restringindo permissões do console no IAM para S3

1

Eu quero permitir que usuários criados por meio do IAM consigam visualizar um bloco no console de gerenciamento. Além disso, quero restringi-lo a uma pasta dentro do intervalo, de modo que as permissões sejam:

S3 Console access for my-bucket/folder/*

Como eu faria isso usando o gerador de políticas? Atualmente tenho:

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:*",
      "Resource": "*"
    }
  ]
}

No entanto, quando modifico o local do recurso - arn:aws:s3:::my-bucket/folder - ele impede que o usuário possa usar o console. Isso é possível fazer e o que preciso fazer para consertar isso?

    
por David542 13.10.2011 / 03:15

1 resposta

1

Você precisa usar condições em vez de adicionar a string da pasta ao recurso, algo assim ...

"Resource":"arn:aws:s3:::mybucket"
"Condition":{
    "StringLike":{
            "s3:prefix":"folder/*"
    }
}
    
por 13.10.2011 / 13:22

Tags