Для данного пользователя IAM я хочу разрешить этому пользователю доступ только к одному конкретному сегменту в нашей учетной записи (назовите его foo-bucket).
Однако, похоже, это приводит к отключению доступа к любому общедоступному сегменту за пределами нашей учетной записи, а это не то, что мне нужно. Я бы хотел, чтобы у пользователя все еще был доступ к любому общедоступному сегменту в другой учетной записи, например broad-references. Конечно, я мог бы явно предоставить доступ к определенному общедоступному сегменту, но в мире существует множество общедоступных сегментов, и я не хочу ограничивать доступ к любому из них.
Вот существующая политика.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "economycloud",
"Action": [
"s3:List*",
"s3:Get*",
"s3:DeleteObject*",
"s3:Abort*",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"s3:RestoreObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::foo-bucket/*",
"arn:aws:s3:::foo-bucket"
]
},
{
"Sid": "AllowListing",
"Action": [
"s3:ListAllMyBuckets"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
Может ли кто-нибудь предложить политику IAM, которая будет делать следующее:
- Ограничить доступ, чтобы пользователь мог получить доступ только к этому конкретному сегменту в учетной записи, как в политике выше,но
- Может получить доступ к любому общедоступному сегменту в любой другой учетной записи.