Я надеюсь, что вы можете мне помочь. я прочитал пара из документы теперь, и я все еще не уверен, действительно ли это работает.
Я хочу предоставить доступ на разных уровнях пользователям AWS на основе тегов S3.
Пример:
- Ковш S3
mybucketимеет теги{"access-team-dev": "rwd"}что должно привести к тому, что команда «dev» получит доступ «чтение, запись, удаление». - по одному тегу для каждой команды, значением является уровень доступа.
Я пробовал не менее 10 различных комбинаций этой политики IAM:
[
{
"Action": [ "a lot of actions removed for brevity" ],
"Condition": {
"StringEquals": {"aws:ResourceTag/access-team-dev": ["list","ro","rw","rwd"]}
},
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [ "a lot of actions removed for brevity" ],
"Condition": {
"StringEquals": {"aws:ResourceTag/access-team-dev": ["ro","rw","rwd"]}
},
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [ "a lot of actions removed for brevity" ],
"Condition": {
"StringEquals": {"aws:ResourceTag/access-team-dev": ["rw","rwd"]}
},
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [ "a lot of actions removed for brevity" ],
"Condition": {
"StringEquals": {"aws:ResourceTag/access-team-dev": ["rwd"]}
},
"Effect": "Allow",
"Resource": "*"
}
]
… но ничего не работает.
Эта политика назначается пользователю через группу IAM, тестовая корзина помечается тегом «access-team-dev»: «rwd».
Два вопроса:
- это работает вообще??
- если да, то что я делаю не так???
Действительно расстраивает, потому что согласно документам — если я их правильно прочитал — это должен работать, да?
Спасибо за все ответы заранее!
Amazon-веб-сервисы Amazon-S3 Amazon-IAM