Какой должна быть политика сегмента для S3, принадлежащего набору Coudfront OAI, но позволяющего другой учетной записи AWS загружать объекты s3

Question

У меня есть S3, который ограничил политику для обслуживания частного контента. Только Cloudfront Origin Access Access может получить доступ. Но другой учетной записи должно быть разрешено загружать новые объекты, чтобы клиент мог получать новые активы. Какую политику следует установить для этой ситуации?

В настоящее время моя политика выглядит следующим образом

          {
                "Sid": "1",
                "Effect": "Allow",
                "Principal": {
                    "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity SomeID12334"
                },
                "Action": "s3:GetObject",
                "Resource": "arn:aws:s3:::my-bucket/*"
            }

Answer 1

Вы можете добавить несколько операторов в вашу политику корзины для обработки разрешений. Предоставьте роль ARN из другой учетной записи, чтобы предоставить доступ для выполнения определенных действий в корзине.

     {
         "Sid": "1",
         "Effect": "Allow",
         "Principal": {
             "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity SomeID12334"
            },
         "Action": "s3:GetObject",
         "Resource": "arn:aws:s3:::my-bucket/*"
    },
    {
        "Sid": "Stmt1570159952662",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::<accountno>:role/rolename"
        },
        "Action": "s3:*",
        "Resource": "arn:aws:s3:::my-bucket"
    }