View a markdown version of this page

Políticas basadas en identidad de IAM para buckets de directorio - Amazon Simple Storage Service

Políticas basadas en identidad de IAM para buckets de directorio

Para poder crear buckets de directorio, debe conceder los permisos necesarios al rol o a los usuarios de AWS Identity and Access Management (IAM). Esta política de ejemplo permite el acceso a la operación de la API CreateSession (para utilizarla con las operaciones de la API del punto de conexión zonal [de nivel de objeto]) y a todas las operaciones de la API del punto de conexión regional (de nivel de bucket). Esta política permite que la operación de la API CreateSession se utilice con todos los buckets de directorio, pero las operaciones de la API de punto de conexión regional solo se permiten con el bucket de directorio especificado. Para utilizar esta política de ejemplo, sustituya user input placeholders por su propia información.

nota

Como práctica recomendada, conceda solo los permisos necesarios para realizar una tarea (privilegio mínimo). Elimine las acciones de esta política que no sean necesarias para el caso de uso. Para obtener una lista completa de las acciones de S3 Express One Zone, consulte Acciones, recursos y claves de condición para S3 Express One Zone en la Información de Autorización de los Servicios.

ejemplo Política basada en identidad para el acceso de buckets de directorio
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRegionalEndpointAPIs",
            "Effect": "Allow",
            "Action": [
                "s3express:CreateBucket",
                "s3express:DeleteBucket",
                "s3express:DeleteBucketPolicy",
                "s3express:GetBucketPolicy",
                "s3express:PutBucketPolicy",
                "s3express:GetEncryptionConfiguration",
                "s3express:PutEncryptionConfiguration",
                "s3express:GetLifecycleConfiguration",
                "s3express:PutLifecycleConfiguration",
                "s3express:GetInventoryConfiguration",
                "s3express:PutInventoryConfiguration",
                "s3express:GetMetricsConfiguration",
                "s3express:PutMetricsConfiguration"
            ],
            "Resource": "arn:aws:s3express:region:account-id:bucket/bucket-base-name--zone-id--x-s3"
        },
        {
            "Sid": "AllowListAndCreateSession",
            "Effect": "Allow",
            "Action": [
                "s3express:ListAllMyDirectoryBuckets",
                "s3express:CreateSession"
            ],
            "Resource": "*"
        }
    ]
}

Esta política tiene dos instrucciones:

  • La primera instrucción concede permisos para las operaciones de la API de punto de conexión regional (por bucket) en un bucket de directorio específico. Puede eliminar las acciones que no necesite según el caso de uso.

  • La segunda instrucción concede permisos para ListAllMyDirectoryBuckets y CreateSession. Estas acciones no admiten permisos por recursos, por lo que Resource es "*". El permiso CreateSession habilita todas las operaciones de la API de punto de conexión zonal (por objeto), como PutObject, GetObject y DeleteObject.