终止支持通知:2025 年 11 月 13 日,我 AWS 将停止对 AWS MediaStore Elemental 的支持。2025 年 11 月 13 日之后,您将无法再访问 MediaStore 控制台或 MediaStore 资源。有关更多信息,请访问此[博客文章](https://aws.amazon.com/blogs/media/support-for-aws-elemental-mediastore-ending-soon/)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 示例容器策略:对角色的跨账户完全访问权限
此示例策略允许跨账户访问权限以更新账户中的任何对象,只要用户通过 HTTP 登录即可。它还允许跨账户访问权限以通过 HTTP 或 HTTPS 删除、下载和描述对象,只要这个账户已担任指定的角色:
+ 第一个语句是 `CrossAccountRolePostOverHttps`。它允许在任何对象上访问 `PutObject` 操作,并且对指定账户的任何用户允许此访问权限,前提是该账户已担任在 <角色名称> 中指定的角色。它指定此访问具有对于操作需要 HTTPS 的条件(此条件在提供对 `PutObject` 的访问权限时必须始终包含在内)。
换言之,具有跨账户访问权限的任何委托人都可以访问 `PutObject`,但只能通过 HTTPS 进行访问。
+ 第二个语句是 `CrossAccountFullAccessExceptPost`。它允许在任何对象上访问除 `PutObject` 之外的所有操作。它对指定账户的任何用户允许此访问权限,前提是该账户已担任在 <角色名称> 中指定的角色。此访问没有对于操作需要 HTTPS 的条件。
换言之,具有跨账户访问权限的任何账户都可以访问 `DeleteObject`、`GetObject` 等(`PutObject` 除外),而且可通过 HTTP 或 HTTPS 执行此操作。
如果您从第二个语句中未排除 `PutObject`,则该语句将不会有效(因为如果包含 `PutObject`,您必须将 HTTPS 显式设置为条件)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountRolePostOverHttps",
"Effect": "Allow",
"Action": "mediastore:PutObject",
"Principal": {
"AWS": "arn:aws:iam::333333333333:role/"
},
"Resource": "arn:aws:mediastore:us-east-2:333333333333:container//*",
"Condition": {
"Bool": {
"aws:SecureTransport": "true"
}
}
},
{
"Sid": "CrossAccountFullAccessExceptPost",
"Effect": "Allow",
"NotAction": "mediastore:PutObject",
"Principal": {
"AWS": "arn:aws:iam::333333333333:role/"
},
"Resource": "arn:aws:mediastore:us-east-2:333333333333:container//*"
}
]
}
```
------