使用 Amazon S3 控制台添加存储桶策略
您可以使用 AWS 策略生成器
确保保存策略之前解决来自 AWS Identity and Access Management Access Analyzer 的安全警告、错误、一般警告和建议。IAM Access Analyzer 将根据 IAM 策略语法和最佳实践运行策略检查,以验证您的策略。这些检查项生成结果并提供可操作的建议,可帮助您编写可操作且符合安全最佳实践的策略。要了解有关使用 IAM Access Analyzer 验证策略的更多信息,请参阅《IAM 用户指南》中的 IAM Access Analyzer 策略验证。要查看 IAM Access Analyzer 返回的警告、错误和建议的列表,请参阅 IAM Access Analyzer 策略检查引用。
有关对策略错误进行故障排查的指南,请参阅排查 Amazon S3 中的拒绝访问(403 Forbidden)错误。
创建或编辑存储桶策略
登录到 AWS 管理控制台,然后通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/
。 -
在左侧导航窗格中,选择通用存储桶或目录存储桶。
-
在存储桶列表中,选择要为其创建或编辑存储桶策略的存储桶的名称。
-
选择 Permissions(权限)选项卡。
-
在 Bucket policy(存储桶策略)下,请选择 Edit(编辑)。将出现 Edit bucket policy(编辑存储桶策略)页面。
-
在 Edit bucket policy(编辑存储桶策略)页面上,执行以下操作之一:
-
要查看存储桶策略的示例,请选择策略示例。或请参阅《Amazon S3 用户指南》中的 Amazon S3 存储桶策略的示例。
-
要自动生成策略或编辑策略部分中的 JSON,请选择策略生成器。
如果选择 Policy generator(策略生成器),AWS 策略生成器将在新窗口中打开。
-
在 AWS 策略生成器页面上,对于选择策略类型,选择 S3 存储桶策略。
-
通过在提供的字段中输入信息来添加语句,然后选择添加语句。对所有您想添加的语句重复执行此步骤。有关这些字段的更多信息,请参阅《IAM 用户指南》中的 IAM JSON 策略元素参考。
注意
为方便起见,编辑桶策略页面会在策略文本字段上方显示当前桶的桶 ARN(Amazon 资源名称)。您可以复制此 ARN,以便在 AWS 策略生成器页面上的语句中使用。
-
添加完语句后,请选择生成策略。
-
复制生成的策略文本,请选择 Close(关闭),然后返回到 Amazon S3 控制台中的 Edit bucket policy(编辑存储桶策略)页面。
-
-
在 Policy(策略)框中,编辑现有策略或从 AWS 策略生成器粘贴存储桶策略。确保在保存策略之前解决安全警告、错误、一般警告和建议。
注意
存储桶策略的大小限制为 20 KB。
-
(可选)选择右下角的 Preview external access(预览外部访问),以预览新策略如何影响对资源的公有和跨账户访问。在保存策略之前,您可以检查策略是引入了新的 IAM Access Analyzer 发现结果还是解析了现有的发现结果。如果您没有看到活动的分析器,请在 IAM Access Analyzer 中选择 Go to Access Analyzer(转至 Access Analyzer)以创建账户分析器。有关更多信息,请参阅 IAM 用户指南中的预览访问权限。
-
请选择 Save changes(保存更改),此操作将让您返回到 Permissions(权限)选项卡。
