关于AWS中创建一个EC2使用的IAM-Role-访问指定的S3-bucket的权限策略
Posted on 2023-08-01 10:00 520_1351 阅读(165) 评论(0) 编辑 收藏 举报背景:需要为一台EC2创建一个IMA,Role,用于访问和管理指定的S3 bucket,要求对S3 Bucket有安全的控制权限
细节点:S3 使用了KMS加密,也是需要考虑到这一点的,控制权限时,应该也要限定到具体的某个KMS
实现,在IAM中,创建一个用于EC2的Role,在Role中创建一个Policy,添加上对指定S3 Bucket的完全管理权限
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "kms:*", "Resource": "arn:aws-cn:kms:cn-north-1:901234567891:key/20686b63-89aa-23ca-af6a-a0a961fa8262" }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "s3:*", "Resource": [ "arn:aws-cn:s3:::qq-5201351", "arn:aws-cn:s3:::qq-5201351/*" ] } ] }
其他说明:如上只是能实现功能,权限放得都比较大,如果是生产环境,为了安全,还应该加上一些条件限制、限制到指定的EC2、或者IP地址等
尊重别人的劳动成果 转载请务必注明出处:https://www.cnblogs.com/5201351/p/17595689.html
作者:一名卑微的IT民工
出处:https://www.cnblogs.com/5201351
本博客所有文章仅用于学习、研究和交流目的,欢迎非商业性质转载。
由于博主的水平不高,文章没有高度、深度和广度,只是凑字数,不足和错误之处在所难免,希望大家能够批评指出。
博主是利用读书、参考、引用、复制和粘贴等多种方式打造成自己的文章,请原谅博主成为一个卑微的IT民工!