Exemplo de política de contêiner: acesso total entre contas a uma função - AWS Elemental MediaStore

Aviso de fim do suporte: em 13 de novembro de 2025, o suporte para o AWS MediaStore Elemental AWS será interrompido. Depois de 13 de novembro de 2025, você não poderá mais acessar o MediaStore console ou MediaStore os recursos. Veja esta postagem em blog para obter mais informações.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplo de política de contêiner: acesso total entre contas a uma função

Essa política de exemplo permite acesso entre contas para atualizar qualquer objeto na conta, desde que o usuário esteja conectado por HTTP. Ela também permite acesso entre contas para excluir, fazer download e descrever os objetos por HTTP ou HTTPS em uma conta que tenha assumido a função especificada:

  • A primeira instrução é CrossAccountRolePostOverHttps. Ela permite o acesso à operação PutObject em qualquer objeto e permite esse acesso a qualquer usuário da conta especificada, se essa conta tiver assumido a função especificada em <nome da função>. Ela especifica que esse acesso tem a condição de exigir HTTPS para a operação, essa condição deve sempre ser incluída ao fornecer acesso à operação PutObject.

    Em outras palavras, qualquer principal que tenha acesso a contas cruzadas pode acessar a operação PutObject, mas somente por HTTPS.

  • A segunda instrução é CrossAccountFullAccessExceptPost. Permite acesso a todas as operações, exceto PutObject em qualquer objeto. Permite esse acesso a qualquer usuário da conta especificada se essa conta tiver assumido a função especificada no <nome da função>. Esse acesso não tem a condição de exigir HTTPS para as operações.

    Em outras palavras, qualquer conta que tenha acesso entre contas pode acessar DeleteObject, GetObject e assim por diante, mas não PutObject, e pode fazer isso por HTTP ou HTTPS.

    Se você não excluir a operação PutObject da segunda instrução, a instrução não será válida, porque se você incluir PutObject, é necessário definir explicitamente o HTTPS como uma condição.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossAccountRolePostOverHttps",
            "Effect": "Allow",
            "Action": "mediastore:PutObject",
            "Principal": {
                "AWS": "arn:aws:iam::333333333333:role/<role name>"
            },
            "Resource": "arn:aws:mediastore:us-east-2:333333333333:container/<container name>/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "true"
                }
            }
        },
        {
            "Sid": "CrossAccountFullAccessExceptPost",
            "Effect": "Allow",
            "NotAction": "mediastore:PutObject",
            "Principal": {
                "AWS": "arn:aws:iam::333333333333:role/<role name>"
            },
            "Resource": "arn:aws:mediastore:us-east-2:333333333333:container/<container name>/*"
        }
    ]
}