通过AWS STS令牌授予对存储桶中单个文件夹的访问权限

Question

我需要通过提供S3令牌来允许匿名用户访问亚马逊STS存储桶中的单个文件夹。

我找到了关于如何根据策略和策略变量在一个存储桶中提供对特定于用户的文件夹的访问的指南。您可以在其中使用长期用户密钥。这是否有可能实现类似的东西，但使用STS令牌，只有一个用户，而不是多个用户，每个用户都有自己的文件夹？

Answer 1

当您通过STS服务调用AssumeRole时，您将包括一个策略文档，该文档指定临时凭据将具有哪些权限。在该策略文档中，您将指定希望此用户拥有确切S3权限。您不需要使用策略变量，因为此时将为单个用户生成策略文档(不需要用户变量，因为您知道此场景中的确切用户是谁)。

您的策略文档将如下所示(将my-bucket和my-folder替换为您希望授予特定用户访问权限的实际存储桶名称和文件夹名称)：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*"
            ],
            "Resource": "arn:aws:s3:::my-bucket/my-folder/*"
        }
    ]
}