AWS Transfer Family 管理工作流程视频教程中使用了哪些 IAM 策略？

【以下的回答经过翻译处理】 以下IAM策略可用于视频演示的AWS Transfer Family工作流执行角色。有关更多信息，请阅读“为工作流构建执行角色”，并创建一个带有信任策略的IAM角色，以供transfer.amazonaws.com使用。

演示1

此演示涵盖了AWS Transfer Family的复制和标记步骤。工作流将对象复制到存档桶并对对象进行标记。复制需要从源存储桶读取、写入目标存储桶和HeadObject访问。由于S3存储桶启用了版本控制，并且可以限制到具有工作流应用特定标记的条件，因此标记需要两个操作。如果在您的环境中执行此操作，请确保IAM策略资源设置为最严格的工作流。 { "Version": "2012-10-17", "Statement": [ { "Sid": "CopyRead", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectTagging" ], "Resource": "arn:${Partition}:s3:::${SourceBucketName}/${ObjectName}" }, { "Sid": "CopyWrite", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectTagging" ], "Resource": "arn:${Partition}:s3:::${DestinationBucketName}/${ObjectName}" }, { "Sid": "CopyList", "Effect": "Allow", "Action": "s3:ListBucket", "Resource": [ "arn:${Partition}:s3:::${SourceBucketName}", "arn:${Partition}:s3:::${DestinationBucketName}" ] }, { "Sid": "Tag", "Effect": "Allow", "Action": [ "s3:PutObjectTagging", "s3:PutObjectVersionTagging" ], "Resource": "arn:${Partition}:s3:::${DestinationBucketName}/${ObjectName}", "Condition": { "StringEquals": { "s3:RequestObjectTag/Archive": "yes" } } } ] }

演示2

此演示涵盖了AWS Transfer Family工作流自定义和删除步骤。工作流调用AWS Lambda函数，然后删除S3对象，并具有自定义步骤作为异常处理程序。它需要s3：DeleteObject访问和用于两个AWS Lambda函数的lambda：InvokeFunction访问。如果在您的环境中执行此操作，请确保IAM策略资源设置为最严格的工作流。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Delete", "Effect": "Allow", "Action": [ "s3:DeleteObject" ], "Resource": "arn:${Partition}:s3:::${BucketName}/${ObjectName}" }, { "Sid": "Custom", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:${Partition}:lambda:${Region}:${Account}:function:${FunctionName}", "arn:${Partition}:lambda:${Region}:${Account}:function:${FunctionName}" ] } ] }