发布于: Dec 21, 2020
s3:ResourceAccount 和 s3:TLSVersion IAM 条件键可帮助您编写简单的策略,这些策略可根据存储桶所有者的 亚马逊云科技账户 ID 或客户端使用的 TLS 版本限制对存储桶的访问。
使用新的 s3:ResourceAccount IAM 条件键,您可以编写简单的 IAM 或 Virtual Private Cloud 终端节点 (VPCE) 策略,以限制用户或应用程序对指定 亚马逊云科技账户拥有的 S3 存储桶的访问。此外,由于这一新条件键是通过 亚马逊云科技账户 ID 而不是通过存储桶或资源名称来过滤访问,因此您可以确定,策略将以可预测的方式在未来应用,即使随着时间推移添加和删除存储桶也是如此。
使用新的 s3:TLSVersion IAM 条件键,您现在可以编写简单的 IAM 或 Virtual Private Cloud 终端节点 (VPCE) 策略,以基于客户端使用的 TLS 版本限制用户或应用程序对 S3 存储桶的访问。这让您可以轻松编写简短的策略,以确保所有客户端都使用最低的客户定义的 TLS 版本。
现在,s3:ResourceAccount IAM 和 s3:TLSVersioncondition 在所有 亚马逊云科技区域中免费提供,包括由光环新网运营的 亚马逊云科技中国(北京)区域和由西云数据运营的 亚马逊云科技中国(宁夏)区域。
要了解有关 S3 IAM 条件键的更多信息,请访问 IAM 文档。