VK
Это где ты такое нашел и для чего оно тебе?
Size: a a a
2021 September 02
PD
это я хочу полиси на бакет накатить
PD
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {"AWS": ["arn:aws:iam::usfolks:user/fred:subuser"]},
"Action": "s3:PutObjectAcl",
"Resource": [
"arn:aws:s3:::happybucket/*"
]
}]
}PD
вот оттуда пример
PD
в примере
usfolksPD
загуглил что за параметр, а это AWS-account-ID
VK
Чуть иначе написано
PD
о спасибо)
E
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {"AWS": ["arn:aws:iam:::user/rgw-user1"]},
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::user1-bucket1/*"
]
},
{
"Effect": "Allow",
"Principal": {"AWS": ["arn:aws:iam:::user/rgw-user2"]},
"Action": ["s3:PutObject","s3:GetObject"],
"Resource": [
"arn:aws:s3:::user1-bucket1/*"
]
}]
}E
это если надо другому юзеру разрешить писать в свой бакет
DP
А если пользователь в тенанте?
IF
arn:aws:s3::вроде_здесь_указывается_тенант:user1-bucket1/*
DP
Спасибо, попробую
IF
и такое в моих заметках есть )
IF
"Principal": {
"AWS": [
"arn:aws:iam::prod:user/infas"
]
},E
политика для CEPH RGW несколько другая, но структура та же, по tenant в политике RGW пишут пока такое:
We use the RGW ‘tenant’ identifier in place of the Amazon twelve-digit account ID. In the future we may allow you to assign an account ID to a tenant, but for now if you want to use policies between AWS S3 and RGW S3 you will have to use the Amazon account ID as the tenant ID when creating users.
PD
чёт я не посмотрел что это future proposal))