Я надеюсь, что вы можете мне помочь. я прочитал пара из документы теперь, и я все еще не уверен, действительно ли это работает.
Я хочу предоставить доступ на разных уровнях пользователям AWS на основе тегов S3.
Пример:
- Ковш S3
мое ведро
имеет теги {"access-team-dev": "rwd"}
, что должно привести к тому, что команда "dev" получит доступ "чтение, запись, удаление".
- по одному тегу для каждой команды, значением является уровень доступа.
Я пробовал не менее 10 различных комбинаций этой политики IAM:
[
{
"Действие": [ "для краткости удалено много действий" ],
"Условие": {
"StringEquals": {"aws:ResourceTag/access-team-dev": ["список","ro","rw","rwd"]}
},
«Эффект»: «Разрешить»,
"Ресурс": "*"
},
{
"Действие": [ "для краткости удалено много действий" ],
"Условие": {
"StringEquals": {"aws:ResourceTag/access-team-dev": ["ro","rw","rwd"]}
},
«Эффект»: «Разрешить»,
"Ресурс": "*"
},
{
"Действие": [ "для краткости удалено много действий" ],
"Условие": {
"StringEquals": {"aws:ResourceTag/access-team-dev": ["rw","rwd"]}
},
«Эффект»: «Разрешить»,
"Ресурс": "*"
},
{
"Действие": [ "для краткости удалено много действий" ],
"Условие": {
"StringEquals": {"aws:ResourceTag/access-team-dev": ["rwd"]}
},
«Эффект»: «Разрешить»,
"Ресурс": "*"
}
]
... но ничего не работает.
Эта политика назначается пользователю через группу IAM, тестовая корзина помечается тегом «access-team-dev»: «rwd».
Два вопроса:
- это работает вообще??
- если да, то что я делаю не так???
Действительно расстраивает, потому что согласно документам - если я их правильно прочитал - это должен работать, да?
Спасибо за все ответы заранее!