Вы можете написать политику IAM, чтобы предоставить ей полный доступ к определенным сегментам S3, которые вы хотели бы, чтобы она контролировала.Вы можете предоставить программный доступ или доступ к консоли управления AWS к определенным ресурсам S3.
Пример:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["s3:ListBucket"],
"Resource": ["arn:aws:s3:::test"]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": ["arn:aws:s3:::test/*"]
}
]
}
Также обратите внимание на создание роли , которая может получить доступ к конкретным сегментам S3 , о которой идет речь, а затем использование iam:PassRole, чтобы дать ей возможность назначить этороль для других лиц.
{
"Sid": "PolicyStatementToAllowUserToPassOneSpecificRole",
"Effect": "Allow",
"Action": [ "iam:PassRole" ],
"Resource": "arn:aws:iam:::role/My-S3-Role"
}