Предоставление доступа к s3 с указанным c «тегом» с использованием AWS ролей и политики IAM

Question

Я хочу создать политику AWS IAM, чтобы у прикрепленной роли был доступ ко всем корзинам S3, имеющим тег «Team = devops». Я попробовал следующий JSON файл, но он не будет работать.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "arn:aws:s3:::*",
            "Condition": {
                "StringEquals": {"s3:ResourceTag/Team": "devops"}
            }
        }
    ]
}

Answer 1

Согласно Доступные ключи условий , s3: ResourceTag недоступен для условий S3.

Предопределенные ключи, доступные для указания условий в политике доступа Amazon S3, можно классифицировать следующим образом:

Как в Политики тегов объектов и контроля доступа , управление доступом для объекта возможно с помощью s3: ExistingObjectTag ключ условия.

Следующая политика разрешений предоставляет пользователю разрешение на чтение объектов, но условие ограничивает разрешение на чтение только объекты, которые имеют следующие указанные c ключ и значение тега. безопасность : публика c

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect":     "Allow",
      "Action":     "s3:GetObject",
      "Resource":    "arn:aws:s3:::examplebucket/*",
      "Principal":   "*",
      "Condition": {  "StringEquals": {"s3:ExistingObjectTag/security": "public" } }
    }
  ]
}