J'ai besoin d'un Amazon S3 utilisateur avec un accès complet à un seul compartiment
J'ai un utilisateur foo avec les privilèges suivants (il n'est pas membre d'un groupe):
{
"Statement": [
{
"Sid": "Stmt1308813201865",
"Action": "s3:*",
"Effect": "Allow",
"Resource": "arn:aws:s3:::bar"
}
]
}
Que l'utilisateur semble cependant pas en mesure de télécharger ou de faire beaucoup de chose jusqu'à ce que je accorder un accès complet aux utilisateurs authentifiés (qui pourrait s'appliquer à n'importe qui). Ce n'est toujours pas permettre à l'utilisateur de modifier l'autorisation que boto est en train de lancer un message d'erreur après un téléchargement, quand il essaie de faire de faire key.set_acl('public-read')
.
Idéalement, l'utilisateur aurait accès complet à la bar
seau et rien d'autre, ce que je fais mal?
InformationsquelleAutor Kit Sunde | 2011-11-20
Vous devez vous connecter pour publier un commentaire.
Vous devez accorder s3:ListBucket la permission de le seau lui-même. Essayez la politique ci-dessous.
bar/*
est nécessaire pour accéder à des objets à l'intérieur de labar
seau, tandis quebar
est nécessaire à la liste/modifier le seau lui-même.La réponse choisie n'a pas fonctionné pour moi, mais il n':
De crédit: http://mikeferrier.com/2011/10/27/granting-access-to-a-single-s3-bucket-using-amazon-iam/
Êtes-vous conscient de la Générateur de Politique AWS?
Il y a un officiel AWS documentation à Rédaction de Politiques IAM: Comment Accorder l'Accès à un compartiment Amazon S3
Il suffit de copier et coller la règle appropriée et changer la "Ressource" pour votre seau de l'ARN dans tous les États.
Pour programamtic accès la politique devrait être:
Et pour d'accès à la console l'accès devrait être:
Qui fonctionne pour moi:
Si vous avez été arracher les cheveux parce que vous ne pouvez pas comprendre pourquoi Cyberduck est de ne pas être en mesure de définir l'objet Acl, mais il fonctionne avec un autre client (comme la Panique Transmettre) voici la solution:
Vous devez ajouter
s3:GetBucketAcl
à votre liste d'actions, par exemple:Bien sûr, vous n'avez pas besoin de faire cela si vous êtes moins restrictive avec
s3:*
mais je pense que c'est bon à savoir.@cloudberryman réponse est bonne, mais j'aime faire des choses aussi court que possible. Cette réponse peut être réduite à:
Permettre seau intérieur des dossiers en mentionnant comme ci-dessous en ressources, Aussi, vous devez donner la liste de l'autorisation de tous les compartiments. Découvrez ci-dessous la politique de l'échantillon,
Connaître plus de détails sur cet trouver cet l'article.