允許讀取和寫入存取 Amazon S3 儲存貯體 - AWS Transfer Family

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

允許讀取和寫入存取 Amazon S3 儲存貯體

本節說明如何建立允許讀取和寫入存取特定 Amazon S3 儲存貯體的 IAM 政策。將具有此 IAM 政策的 IAM 角色指派給您的使用者,可讓該使用者存取指定的 Amazon S3 儲存貯體。

下列政策提供 Amazon S3 儲存貯體的程式設計讀取、寫入和標記存取權。只有在您需要啟用跨帳戶存取時,才需要 GetObjectACLPutObjectACL陳述式。也就是說,您的 Transfer Family 伺服器需要存取不同帳戶中的儲存貯體。

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid":"ReadWriteS3",
      "Action": [
            "s3:ListBucket"
                ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetObject",
        "s3:GetObjectTagging",
        "s3:DeleteObject",              
        "s3:DeleteObjectVersion",
        "s3:GetObjectVersion",
        "s3:GetObjectVersionTagging",
        "s3:GetObjectACL",
        "s3:PutObjectACL"
      ],
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"]
    }
  ]
}

ListBucket 動作需要對儲存貯體本身的許可。PUTGETDELETE 動作需要物件許可。由於這些是不同的資源,因此會使用不同的 Amazon Resource Name (ARNs) 來指定這些資源。

若要進一步限制使用者只能存取指定 Amazon S3 儲存貯體的home字首,請參閱 為 Amazon S3 儲存貯體建立工作階段政策