您好,我正在尝试设置 IAM,以允许我的应用程序遵循最低权限的安全准则,以防坏人获得访问权限。我知道确保我的代码安全是第一件事,但我再次希望安全,而不是抱歉。
我需要了解您建议的不同策略,以允许一个 IAM 用户读取访问权限并允许另一个 IAM 用户写入权限。除了用于写入的“PutObject”和用于读取的“GetObject”之外,我还需要其他东西吗?我还需要显示用户可能在 S3 中自己的文件夹中存储了哪些文件。
任何帮助都会很棒。
您需要在存储桶和对象级别授予一些权限。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ListObjectsInBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::<bucket_name>"
]
},
{
"Sid": "AllObjectActions",
"Effect": "Allow",
"Action": "s3:*Object",
"Resource": [
"arn:aws:s3:::<bucketname>/<folder>/*"
]
}
]
}
*Object 通配符将允许 API,例如 PutObject、GetObject
根据您的具体用例调整允许的 API 列表。