发布于: Dec 21, 2020
s3:ResourceAccount 和 s3:TLSVersion IAM 条件键可让您通过编写简单的策略,来分别根据存储桶拥有者的 AWS 账户 ID 和客户端使用的 TLS 版本限制对存储桶的访问。
借助新的 s3:ResourceAccount IAM 条件键,您可以编写简单的 IAM 或 Virtual Private Cloud 终端节点 (VPCE) 策略,以限制用户或应用程序对指定 AWS 账户拥有的 S3 存储桶的访问。此外,由于此新条件键通过 AWS 账户 ID(而不是存储桶或资源名称)过滤访问,因此您可以确定,即使随着时间的推移添加和删除存储桶,这些策略在将来也可以发挥预期作用。
借助新的 s3:TLSVersion IAM 条件键,您现在可以编写简单的 IAM、Virtual Private Cloud 终端节点 (VPCE) 或存储桶策略,以基于客户端使用的 TLS 版本限制用户或应用程序对 S3 存储桶的访问。这使您可以轻松地编写简短的策略,以确保所有客户端使用的客户定义 TLS 版本高于某个版本。
所有 AWS 区域都免费提供 s3:ResourceAccount IAM 和 s3:TLSVersion 条件键,包括 AWS GovCloud(美国)区域、由光环新网运营的 AWS 中国(北京)区域和由西云数据运营的 AWS 中国(宁夏)区域。
要了解有关 S3 的 IAM 条件键的更多信息,请访问 S3 文档。