หากเราต้องการสร้าง policy ชื่อ My-S3-Policy เพื่อใช้กำหนดสิทธิ์ให้ my-user สามารถเข้าใช้ my-bucket ได้เพียงอันเดียว เรามีวิธีการดังนี้
- เข้าไปที่หน้า Policy ของ Identity and Access Management (IAM) ตามลิ้งค์นี้
https://console.aws.amazon.com/iam/home?region=ap-southeast-1#/policies - กดปุ่ม Create policy
- สร้าง Policy โดยมีรายละเอียดดังนี้
- กรณีที่สร้าง Policy ในแท็บ Visual editor
- Service เลือกเป็น S3
- Action เลือกเป็น All S3 actions (s3:*)
- Resources ให้กำหนดค่าดังนี้
- กรณีที่สร้าง Policy ในแท็บ JSON
- กรณีที่ต้องการใช้ Policy ที่สร้างใน Visual editor ตามข้างบนให้ใส่ข้อความดังนี้
- กรณีที่ต้องการใช้ Policy ที่จำกัดสิทธิ์ให้ใช้ได้เพียง budget เดียว ไม่สามารถดูรายการ bucket อื่นๆได้ ให้ใส่ข้อความดังนี้
- กดปุ่ม Review policy
- Name กรอกข้อมูลเป็น My-S3-Policy
- กดปุ่ม Create policy
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:GetAccessPoint",
"s3:PutAccountPublicAccessBlock",
"s3:GetAccountPublicAccessBlock",
"s3:ListAllMyBuckets",
"s3:ListAccessPoints",
"s3:ListJobs",
"s3:CreateJob",
"s3:HeadBucket"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::my-bucket/*",
"arn:aws:s3:::my-bucket"
]
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::my-bucket/*",
"arn:aws:s3:::my-bucket"
]
}
]
}
- เข้าไปที่หน้า Policy ของ Identity and Access Management (IAM) ตามลิ้งค์นี้
https://console.aws.amazon.com/iam/home?region=ap-southeast-1#/policies - เลือก Policy ที่ชื่อ My-S3-Policy
- ไปที่แท็บ Policy usage
- กดปุ่ม Attach
- เลือก my-user
- กดปุ่ม Attach policy
No comments:
Post a Comment