群組原則範例
建議變更
PDF
使用本節中的範例為群組建置StorageGRID存取策略。
群組原則指定該策略所屬群組的存取權限。沒有 `Principal`元素,因為它是隱含的。群組原則是使用租用戶管理器或 API 進行設定的。
範例:使用租用戶管理器設定群組原則
當您在租用戶管理員中新增或編輯群組時,您可以選擇一個群組原則來確定該群組的成員將擁有哪些 S3 存取權。看"為 S3 租用戶建立群組" 。
-
無 S3 存取:預設選項。除非透過儲存桶策略授予存取權限,否則該群組中的使用者無權存取 S3 資源。如果選擇此選項,則預設只有 root 使用者才有權存取 S3 資源。
-
唯讀存取:此群組中的使用者對 S3 資源具有唯讀存取權限。例如,該群組中的使用者可以列出物件並讀取物件資料、元資料和標籤。選擇此選項時,唯讀群組原則的 JSON 字串將出現在文字方塊中。您無法編輯此字串。
-
完全存取:此群組中的使用者對 S3 資源(包括儲存桶)擁有完全存取權。當您選擇此選項時,完全存取群組原則的 JSON 字串將出現在文字方塊中。您無法編輯此字串。
-
勒索軟體緩解:此範例策略適用於此租戶的所有儲存桶。該群組中的使用者可以執行常見操作,但無法從啟用了物件版本控制的儲存桶中永久刪除物件。
擁有管理所有儲存桶權限的租用戶管理員使用者可以覆寫此群組原則。將管理所有儲存桶的權限限制為受信任的用戶,並在可用的情況下使用多重身份驗證 (MFA)。
-
自訂:群組中的使用者被授予您在文字方塊中指定的權限。
範例:允許群組完全存取所有儲存桶
在此範例中,除非儲存桶策略明確拒絕,否則群組中的所有成員都被允許完全存取租用戶帳戶擁有的所有儲存桶。
{
"Statement": [
{
"Action": "s3:*",
"Effect": "Allow",
"Resource": "arn:aws:s3:::*"
}
]
}
範例:允許群組對所有儲存桶進行唯讀訪問
在此範例中,群組中的所有成員都具有對 S3 資源的唯讀存取權限,除非儲存桶策略明確拒絕。例如,該群組中的使用者可以列出物件並讀取物件資料、元資料和標籤。
{
"Statement": [
{
"Sid": "AllowGroupReadOnlyAccess",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketVersions",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging"
],
"Resource": "arn:aws:s3:::*"
}
]
}
範例:允許群組成員僅完全存取儲存桶中的“資料夾”
在此範例中,群組成員只被允許列出和存取指定儲存桶中的特定資料夾(鍵前綴)。請注意,在確定這些資料夾的隱私時,應考慮來自其他群組原則和儲存桶策略的存取權限。
{
"Statement": [
{
"Sid": "AllowListBucketOfASpecificUserPrefix",
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::department-bucket",
"Condition": {
"StringLike": {
"s3:prefix": "${aws:username}/*"
}
}
},
{
"Sid": "AllowUserSpecificActionsOnlyInTheSpecificUserPrefix",
"Effect": "Allow",
"Action": "s3:*Object",
"Resource": "arn:aws:s3:::department-bucket/${aws:username}/*"
}
]
}