Получил дистрибутив CloudFront, который регистрирует доступ в корзину S3
Bucket Policy позволяет пользователям IAM из другой учетной записи перечислять и читать объекты.
Из командной строки пользователь IAM может перечислить объекты, но попытка их чтения завершается с ошибкой «Произошла ошибка (AccessDenied) при вызове операции GetObject: Access Denied»
Файлы, которые добавляет владелец корзины, могут быть получены пользователем IAM, поэтому я предполагаю, что получение журналов не удается из-за того, что владельцем журнала является "awslogsdelivery + s3_us-east-1"
Есть идеи, какой должна быть политика, чтобы пользователь IAM мог получить журналы?