正则表达式 – 基于命名空间或标记的Amazon AWS S3 IAM策略

例如,此策略授予列出存储桶内容和从存储桶检索对象的权限,但仅当存储桶以assets-开头时：

{
  "Version": "2012-10-17","Statement": [
    {
      "Sid": "SomeSID","Effect": "Allow","Action": [
        "s3:ListBucket","s3:GetObject"
      ],"Resource": [
        "arn:aws:s3:::assets-*","arn:aws:s3:::assets-*/*"
      ]
    }
  ]
}

请注意,Resource部分同时引用了bucket(对于ListBucket)和bucket的内容(对于GetObject).

通配符也可以在存储桶名称的其他位置工作,例如：arn：aws：s3 ::: * – record

无法基于标签授予对Amazon S3存储桶的访问权限.

ARN格式

顺便说一句,如果你想知道为什么亚马逊S3存储桶的ARN(亚马逊资源名称)中有这么多冒号,那是因为ARN的正常格式是：

arn:aws:<service name>:<region>:<account>:<resource>

对于Amazon S3存储桶,可以从存储桶名称(全局唯一)中识别区域和帐户,因此这些参数保留为空白.