目录存储桶的存储桶策略示例 - Amazon Simple Storage Service

目录存储桶的存储桶策略示例

本节提供存储桶策略示例。要使用这些策略,请将 user input placeholders 替换为您自己的信息。

以下示例存储桶策略允许 AWS 账户 ID 111122223333 在指定目录存储桶的默认 ReadWrite 会话中使用 CreateSession API 操作。此策略授予对可用区端点(对象级)API 操作的访问权限。

例 – 允许通过默认 ReadWrite 会话执行 CreateSession 调用的存储桶策略
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadWriteAccess",
            "Effect": "Allow",
            "Resource": "arn:aws:s3express:us-west-2:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:root"
                ]
            },
            "Action": [
                "s3express:CreateSession"
            ]
        }
    ]
}
例 – 允许通过 ReadOnly 会话执行 CreateSession 调用的存储桶策略

以下示例存储桶策略允许 AWS 账户 ID 111122223333 使用 CreateSession API 操作。此策略使用 s3express:SessionMode 条件键以及 ReadOnly 值来设置只读会话。

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadOnlyAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "111122223333"
            },
            "Action": "s3express:CreateSession",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "s3express:SessionMode": "ReadOnly"
                }
            }
        }
    ]
}
例 – 允许 CreateSession 调用进行跨账户访问的存储桶策略

以下示例存储桶策略允许 AWS 账户 ID 111122223333 在由 AWS 账户 ID 444455556666 拥有的指定目录存储桶中,使用 CreateSession API 操作。

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossAccount",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "s3express:CreateSession"
            ],
            "Resource": "arn:aws:s3express:us-west-2:444455556666:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3"
        }
    ]
}