组策略示例
建议更改
PDF
使用本节中的示例为组构建StorageGRID 访问策略。
组策略用于指定附加此策略的组的访问权限。没有 Principal 元素、因为它是隐式的。组策略可使用租户管理器或 API 进行配置。
示例:使用租户管理器设置组策略
在租户管理器中添加或编辑组时、您可以选择组策略来确定此组的成员将具有哪些S3访问权限。请参见 "为 S3 租户创建组"。
-
* 无 S3 访问 * :默认选项。此组中的用户无权访问S3资源、除非使用存储分段策略授予访问权限。如果选择此选项,则默认情况下,只有 root 用户才能访问 S3 资源。
-
* 只读访问 * :此组中的用户对 S3 资源具有只读访问权限。例如,此组中的用户可以列出对象并读取对象数据,元数据和标记。选择此选项后,只读组策略的 JSON 字符串将显示在文本框中。您无法编辑此字符串。
-
* 完全访问 * :此组中的用户对 S3 资源(包括分段)具有完全访问权限。选择此选项后,完全访问组策略的 JSON 字符串将显示在文本框中。您无法编辑此字符串。
-
Ransmans要 缓解:此示例策略适用场景 all b分 段for this租户。此组中的用户可以执行常见操作、但无法从启用了对象版本控制的分段中永久删除对象。
具有"管理所有存储分段"权限的租户管理器用户可以覆盖此组策略。将"管理所有分段"权限限制为受信任用户、并在可用时使用多因素身份验证(Multi-FactorAuthentication、MFA)。
-
* 自定义 * :组中的用户将获得您在文本框中指定的权限。
示例:允许组完全访问所有存储分段
在此示例中,除非 bucket 策略明确拒绝,否则允许组中的所有成员对租户帐户拥有的所有分段进行完全访问。
{
"Statement": [
{
"Action": "s3:*",
"Effect": "Allow",
"Resource": "arn:aws:s3:::*"
}
]
}
示例:允许组对所有分段进行只读访问
在此示例中,组的所有成员都对 S3 资源具有只读访问权限,除非 bucket 策略明确拒绝。例如,此组中的用户可以列出对象并读取对象数据,元数据和标记。
{
"Statement": [
{
"Sid": "AllowGroupReadOnlyAccess",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketVersions",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging"
],
"Resource": "arn:aws:s3:::*"
}
]
}
示例:仅允许组成员对存储分段中的"`folder`"具有完全访问权限
在此示例中,组成员只能列出并访问指定存储分段中的特定文件夹(密钥前缀)。请注意,在确定其他组策略和存储分段策略的隐私时,应考虑这些文件夹的访问权限。
{
"Statement": [
{
"Sid": "AllowListBucketOfASpecificUserPrefix",
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::department-bucket",
"Condition": {
"StringLike": {
"s3:prefix": "${aws:username}/*"
}
}
},
{
"Sid": "AllowUserSpecificActionsOnlyInTheSpecificUserPrefix",
"Effect": "Allow",
"Action": "s3:*Object",
"Resource": "arn:aws:s3:::department-bucket/${aws:username}/*"
}
]
}