【以下的问题经过翻译处理】 我们创建了一个 IAM 策略,旨在允许从服务目录创建 S3 存储桶,但拒绝从 S3 控制台创建,除非使用特定标签。
为此,我们制定了如下政策:
'''
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "s3:CreateBucket",
"Resource": "arn:aws:s3:::",
"Condition": {
"StringEquals": {
"aws:RequestTag/TrustTag": "TrustValue"
}
}
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"s3:Get",
"s3:List*",
"s3:Put*"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::/*"
]
}
]
}
'''
该策略不起作用,因为即使包含标签,它也会阻止存储桶创建。
还有其他方法可以做到这一点吗?