View a markdown version of this page

Políticas baseadas em identidade do IAM para buckets de diretório - Amazon Simple Storage Service

Políticas baseadas em identidade do IAM para buckets de diretório

Antes de criar buckets de diretório, você deve conceder as permissões necessárias aos usuários ou perfis do AWS Identity and Access Management (IAM). Esse exemplo de política permite acesso à operação de API CreateSession (para uso com as operações de API do endpoint zonal [nível de objeto]) e a todas as operações de API do endpoint regional (nível de bucket). Essa política permite que a operação de API CreateSession seja usada com todos os buckets de diretório, mas as operações de API de endpoint regional só são permitidas para uso com o bucket de diretório especificado. Para usar esse exemplo de política, substitua os user input placeholders por suas próprias informações.

nota

Como boa prática, conceda apenas as permissões necessárias para executar uma tarefa (princípio do menor privilégio). Remova todas as ações dessa política desnecessárias para seu caso de uso. Para obter uma lista completa das ações do S3 Express One Zone, consulte Ações, recursos e chaves de condição para o S3 Express One Zone na Referência de Autorização de Serviço.

exemplo— Política baseada em identidade para acesso ao bucket de diretório
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRegionalEndpointAPIs",
            "Effect": "Allow",
            "Action": [
                "s3express:CreateBucket",
                "s3express:DeleteBucket",
                "s3express:DeleteBucketPolicy",
                "s3express:GetBucketPolicy",
                "s3express:PutBucketPolicy",
                "s3express:GetEncryptionConfiguration",
                "s3express:PutEncryptionConfiguration",
                "s3express:GetLifecycleConfiguration",
                "s3express:PutLifecycleConfiguration",
                "s3express:GetInventoryConfiguration",
                "s3express:PutInventoryConfiguration",
                "s3express:GetMetricsConfiguration",
                "s3express:PutMetricsConfiguration"
            ],
            "Resource": "arn:aws:s3express:region:account-id:bucket/bucket-base-name--zone-id--x-s3"
        },
        {
            "Sid": "AllowListAndCreateSession",
            "Effect": "Allow",
            "Action": [
                "s3express:ListAllMyDirectoryBuckets",
                "s3express:CreateSession"
            ],
            "Resource": "*"
        }
    ]
}

A política tem duas declarações:

  • A primeira declaração concede permissões para operações da API de endpoint regional (nível de bucket) em um bucket de um diretório específico. Você pode remover ações desnecessárias ao seu caso de uso.

  • A segunda declaração concede permissões para as ações ListAllMyDirectoryBuckets e CreateSession. Essas ações não suportam permissões em nível de recurso, portanto, o Resource é "*". A permissão CreateSession habilita todas as operações de API de endpoint zonal (nível de objeto), como PutObject, GetObject e DeleteObject.