如何创建指定特定账户中所有 S3 存储桶的 ARN?
How do you create an ARN that specifies all S3 buckets in a specific account?
我的任务是在 AWS 中创建一个 IAM 策略,该策略授予用户访问特定账户内所有 s3 存储桶中所有 s3 对象的权限。
但是,由于 s3 存储桶名称是全局唯一的,并且 s3 ARN 中没有区域或帐户元素,因此似乎无法授予对一个特定帐户中所有 s3 对象的访问权限。我必须将其授予特定存储桶或所有帐户中的所有存储桶。真的吗?必须有解决办法。
我想要这样的东西:
"Resource": "arn:aws:s3::<accountid>:*"
不是:
"Resource": "arn:aws:s3:::*"
有人看到任何解决方案吗?我已经读过
您可以向 S3 资源策略添加条件,其中之一是 s3:ResourceAccount,它应该允许您使用 ARN arn:aws:s3:::*,但仍然限制只能访问您帐户中的存储桶。
我的任务是在 AWS 中创建一个 IAM 策略,该策略授予用户访问特定账户内所有 s3 存储桶中所有 s3 对象的权限。
但是,由于 s3 存储桶名称是全局唯一的,并且 s3 ARN 中没有区域或帐户元素,因此似乎无法授予对一个特定帐户中所有 s3 对象的访问权限。我必须将其授予特定存储桶或所有帐户中的所有存储桶。真的吗?必须有解决办法。
我想要这样的东西:
"Resource": "arn:aws:s3::<accountid>:*"
不是:
"Resource": "arn:aws:s3:::*"
有人看到任何解决方案吗?我已经读过
您可以向 S3 资源策略添加条件,其中之一是 s3:ResourceAccount,它应该允许您使用 ARN arn:aws:s3:::*,但仍然限制只能访问您帐户中的存储桶。