S3バケット内の単一フォルダへのアクセスを制限する方法

Question

s3バケット内の単一のフォルダへのアクセスを制限したいと思います。

私はsame.ButのためにIAMの役割を書いています。どういうわけか、このフォルダにファイルをアップロード/同期していません。バケツはバケツの名前であり、フォルダはアクセス権を与えたいフォルダです。

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Sid": "AllowUserToSeeBucketListInTheConsole", 
      "Action": [ 
       "s3:ListAllMyBuckets", 
       "s3:GetBucketLocation" 
      ], 
      "Effect": "Allow", 
      "Resource": [ 
       "arn:aws:s3:::*" 
      ] 
     }, 
     { 
      "Sid": "AllowRootAndHomeListingOfBucket", 
      "Action": [ 
       "s3:ListBucket" 
      ], 
      "Effect": "Allow", 
      "Resource": [ 
       "arn:aws:s3:::bucket" 
      ], 
      "Condition": { 
       "StringEquals": { 
        "s3:prefix": [ 
         "" 
        ], 
        "s3:delimiter": [ 
         "/" 
        ] 
       } 
      } 
     }, 
     { 
      "Sid": "AllowListingOfUserFolder", 
      "Action": [ 
       "s3:ListBucket", 
       "s3:PutObject", 
       "s3:PutObjectAcl", 
       "s3:GetObject", 
       "s3:GetObjectAcl", 
       "s3:HeadObject" 
      ], 
      "Effect": "Allow", 
      "Resource": [ 
       "arn:aws:s3:::bucket" 
      ], 
      "Condition": { 
       "StringLike": { 
        "s3:prefix": [ 
         "folder/*" 
        ] 
       } 
      } 
     } 
    ] 
} 

私が間違っている場所をお勧めします。

Answer 1

あなたが説明しているシナリオでは、バケツポリシーをお勧めします。 AWS IAMはS3自体のようなAWSリソースを保護する必要がありますが、BucketポリシーはS3バケットやドキュメントを保護するために使用できます。

テーマに、このAWSのブログの記事をチェックアウト：

https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/

Answer 2

あなたが示唆するように要求してきたので、あなたは間違っている場所： 1> AllowListingOfUserFolderでは、リソースなどのオブジェクトを使用していますしていますバケットレベルの操作を使用しており、 "s3：接頭辞"はオブジェクトレベルのAPIでは機能しません。 http://docs.aws.amazon.com/AmazonS3/latest/dev/example-policies-s3.html#iam-policy-ex1 https://aws.amazon.com/blogs/security/writing-iam-policies-grant-access-to-user-specific-folders-in-an-amazon-s3-bucket/

・ホープ、このことができます：

は、ここに記載されているサンプルポリシーをご参照ください。