>我目前需要创建一个以服务作为主体的 iam 策略,
现在,我知道你可以拥有:
"Service": [
"ec2.amazonaws.com"
在您的策略中,但其中指出您自己的账户上的 ec2 服务,我如何为其他账户执行相同的操作? 鉴于我无法为 IM 尝试使用的服务创建角色,因为它用于从 Web 控制台进行机器学习安装?
您需要创建存储桶策略并将其应用于源存储桶,以便账户可以访问另一个账户的存储桶。
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AddCannedAcl",
"Effect":"Allow",
"Principal": {"AWS": ["arn:aws:iam::111122223333:root","arn:aws:iam::444455556666:root"]},
"Action":["s3:PutObject","s3:PutObjectAcl"],
"Resource":["arn:aws:s3:::examplebucket/*"]
}
]
}
http://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies.html#example-bucket-policies-use-case-1