本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon S3:限制管理特定的 S3 儲存貯體 此範例會示範如何建立身分型政策,將 Amazon S3 儲存貯體的管理限制到特定儲存貯體。此政策授予執行所有 Amazon S3 動作的許可,但拒絕存取每個 AWS 服務 ,但 Amazon S3 除外。請參閱以下範例。根據此政策,您只能存取可對 S3 儲存貯體或 S3 物件資源執行的 Amazon S3 動作。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。 如果此政策與允許此政策拒絕動作的其他政策 (例如 [AmazonS3FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3FullAccess) 或 [AmazonEC2FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess) AWS 受管政策) 搭配使用,則會拒絕存取。這是因為明確拒絕陳述式的優先順序會在允許陳述式。如需詳細資訊,請參閱[AWS 強制執行程式碼邏輯如何評估允許或拒絕存取的請求](reference_policies_evaluation-logic_policy-eval-denyallow.md)。 **警告** [`NotAction`](reference_policies_elements_notaction.md) 和 [`NotResource`](reference_policies_elements_notresource.md) 是必須謹慎使用的進階政策元素。此政策拒絕存取除 Amazon S3 以外的每個 AWS 服務。如果您將此政策連接到使用者,則會忽略向其他服務授予許可的任何其他政策,並拒絕存取。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] }, { "Effect": "Deny", "NotAction": "s3:*", "NotResource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] } ] } ``` ------