本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
適用於目錄儲存貯體的 IAM 身分型政策
在您建立目錄儲存貯體之前,必須先將必要的許可授予 AWS Identity and Access Management (IAM) 角色或使用者。此範例政策允許存取 CreateSession API 操作 (搭配區域端點 [物件層級] API 操作使用) 和所有區域端點 (儲存貯體層級) API 操作。此政策允許 CreateSession API 操作搭配所有目錄儲存貯體使用,但僅允許區域端點 API 操作搭配指定的目錄儲存貯體使用。若要使用此範例政策,請以您自己的資訊取代 。user input
placeholders
注意
最佳實務是僅授予執行任務所需的許可 (最低權限)。從此政策中移除您的使用案例不需要的任何動作。如需 S3 Express One Zone 動作的完整清單,請參閱服務授權參考中的 S3 Express One Zone 的動作、資源和條件索引鍵。
範例— 目錄儲存貯體存取的身分型政策
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRegionalEndpointAPIs", "Effect": "Allow", "Action": [ "s3express:CreateBucket", "s3express:DeleteBucket", "s3express:DeleteBucketPolicy", "s3express:GetBucketPolicy", "s3express:PutBucketPolicy", "s3express:GetEncryptionConfiguration", "s3express:PutEncryptionConfiguration", "s3express:GetLifecycleConfiguration", "s3express:PutLifecycleConfiguration", "s3express:GetInventoryConfiguration", "s3express:PutInventoryConfiguration", "s3express:GetMetricsConfiguration", "s3express:PutMetricsConfiguration" ], "Resource": "arn:aws:s3express:region:account-id:bucket/bucket-base-name--zone-id--x-s3" }, { "Sid": "AllowListAndCreateSession", "Effect": "Allow", "Action": [ "s3express:ListAllMyDirectoryBuckets", "s3express:CreateSession" ], "Resource": "*" } ] }
此政策有兩個陳述式:
第一個陳述式會授予特定目錄儲存貯體上區域端點 (儲存貯體層級) API 操作的許可。您可以移除使用案例不需要的動作。
第二個陳述式會授予
ListAllMyDirectoryBuckets和 的許可CreateSession。這些動作不支援資源層級許可,因此Resource是"*"。CreateSession許可會啟用所有區域端點 (物件層級) API 操作,例如PutObject、GetObject和DeleteObject。