Я предоставляю услуги кросс-аккаунта моему клиенту, у которого есть собственная учетная запись AWS.Я хотел бы, чтобы они могли настроить любое S3-хранилище, которым они владеют, так, чтобы любое событие ObjectCreated регистрировалось в моей очереди SQS.Я также хотел бы запретить любой другой стороне записывать в мою очередь или настраивать свои корзины для записи уведомлений об объектах в мою очередь.
Пока у меня есть этот документ разрешения.(Мой accountId: 222222222222, accountId моего клиента: 111111111111)
{
"Sid": "CrossAccountWrite",
"Effect": "Allow",
"Principal": {
"Service": "s3.amazonaws.com"
},
"Action": "SQS:SendMessage",
"Resource": "arn:aws:sqs:us-west-2:222222222222:customer-s3-notifications",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:s3:*:*:customer-s3-bucket"
}
}
}
Это позволяет одному из их сегментов записывать в мою очередь;однако я хотел бы разрешить любому из их сегментов писать в мою очередь.Обычно я просто подстановочный знак на ARN, который начинается с их учетной записи клиента;однако, по любой причине, у S3-сегментов нет региона, и в них нет accountId.Могу ли я выполнить эту фильтрацию на уровне разрешений?