Политика сегмента AWS S3 для федеративного пользователя

Question

Я пытаюсь предоставить федеративному пользователю (ADFS + SAML + STS) доступ к корзине s3.Я пытаюсь указать принципала как

  "Principal": {
                "AWS": [
                    "arn:aws:sts: accountid:federated-user/someuser"
                ]
             }

и

"Resource": "arn:aws:s3:::mybucket"

Но я не могу получить правильный доступ.Любые указатели на это

Answer 1

Принимает ли пользователь конкретную роль, прежде чем пытаться получить доступ к корзине?

Если это так, попробуйте включить в политику корзины и пользователя, и предполагаемую роль, т. Е.

"AWS": [
  "arn:aws:sts::1234567890:assumed-role/User/joe@example.com",
  "arn:aws:iam::1234567890:role/User"
]

Где User - имя роли.