Запретить разрешение для конкретного пользователя определенной папки внутри корзины S3

Question

В AWS S3 у меня есть одна корзина с именем «Environments», в которой у меня есть 4 папки с именами «песочница», «staging», «prod1» и «prod2» соответственно, а разрешение всей корзины - «public».

Теперь я хочу запретить одному пользователю AWS с именем "developer" записывать что-либо в папки "prod1" и "prod2", но он может их просматривать.

Пожалуйста, помогите мне с этим

Answer 1

Создайте приведенную ниже политику и присоедините ее к пользователю разработчик

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                        "s3:GetBucketLocation",
                        "s3:ListAllMyBuckets"
                      ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::Environments",
                "arn:aws:s3:::Environments/sandbox/*",
                "arn:aws:s3:::Environments/staging/*",
            ]
        }
    ]
}

Эта политика позволяет получить полное разрешение для изолированной программной среды и промежуточной папки, но ограничить доступ к другой папке для пользователя разработчик