AWS IAMグループポリシーが唯一のACシングルS3バケット

Question

に可視性とアクセスを制限するために、私はバケツを作成したホストいくつかのウェブ小規模なWebページをのみIAMで特定のログインを持つユーザーがアクセス読まれるべきいくつかのドキュメント。これらのユーザーは、この特定のバケットにのみアクセスし、他のバケットにはアクセスしないでください。理想的には、これらのユーザーはそこに他のバケットがあることを知るべきではありません。

IはIAMに「テスト」は、ユーザを作成し、このため

は、グループにユーザーを追加し、以下のようにグループポリシーを割り当て：

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Sid": "AllowGroupToSeeBucketListAndAlsoAllowGetBucketLocationRequiredForListBucket", 
      "Action": [ 
       "s3:ListAllMyBuckets", 
       "s3:GetBucketLocation" 
      ], 
      "Effect": "Allow", 
      "Resource": [ 
       "arn:aws:s3:::*" 
      ] 
     }, 
     { 
      "Sid": "AllowS3GetActionsInPrivateFolder", 
      "Effect": "Allow", 
      "Action": [ 
       "s3:*" 
      ], 
      "Resource": [ 
       "arn:aws:s3:::my.web.page/*" 
      ] 
     } 
    ] 
} 

1. Iテストユーザでログインとに移動しますS3私は他のすべてのバケットを見ることができます。別のバケットをクリックすると、「申し訳ありませんが、許可なし」というエラーが表示されます。これはうまくいきますが、理想的には他のバケットをリストすることさえできないべきです。

2. 私はhttps://s3.amazonaws.com/my.web.page/index.htmlに行くとき、私はアクセス拒否XMLメッセージが表示されます。このバケット内のHTMLページをブラウザで開くことができるようにポリシーを変更するにはどうすればよいですか。

3. ユーザはまだバケットへの書き込みアクセス権を持っています。どのように私は読み取りアクセスを許可することができますか？

あなたのご協力をよろしくお願いいたします。

Answer 1

は、それが動作します。このポリシーを使用してください。それは例えば、バケットは、名前

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Sid": "AllowGroupToSeeBucketListAndAlsoAllowGetBucketLocationRequiredForListBucket", 
      "Action": [ 
       "s3:GetObject" 
      ], 
      "Effect": "Allow", 
      "Resource": [ 
       "arn:aws:s3:::examplebucket/*" 
      ] 
     }, 
     { 
      "Sid": "AllowS3GetActionsInPrivateFolder", 
      "Effect": "Allow", 
      "Action": [ 
       "s3:*" 
      ], 
      "Resource": [ 
       "arn:aws:s3:::my.web.page/*" 
      ] 
     } 
    ] 
} 

バケット置くと言うところ