Разрешения Amazon S3 предоставлены, но пользователи не могут реализовать свое разрешение

Question

Я администратор, использующий Amazon S3, и создал ведро S3. В разделе «Разрешения» и «Список контроля доступа» я указал AWS пользователей, которые должны иметь «Список объектов» и «Разрешения на чтение корзины». Однако те же пользователи не могут просматривать объекты или читать из корзины, используя AWS CLI.

Есть ли еще один шаг, который мне, как администратору, нужно сделать, чтобы дать пользователям разрешение в S3, используя AWS CLI или им нужно что-то сделать, чтобы реализовать доступ, который я им дал, используя AWS CLI?

Answer 1

Хотя предоставление доступа к самому корзине может позволить пользователям получить доступ к корзине, сами пользователи также должны иметь разрешение для вызова службы Amazon S3. Если у них нет таких разрешений, они не смогут получить доступ к любому сегменту.

. Лучший способ предоставить конкретным c пользователям доступ к сегменту Amazon S3 - это использовать Политика IAM. Эта политика может быть наложена на пользователя IAM .

Если у вас есть группа пользователей, которые должны получить такое же разрешение, вы можете создать IAM Group , поставив пользователи в группе, затем добавьте политику в группу IAM.

Вот пример политики из Написание политик IAM: как предоставить доступ к корзине Amazon S3 | AWS Блог безопасности :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": ["arn:aws:s3:::test"]
    },
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": ["arn:aws:s3:::test/*"]
    }
  ]
}

Это дает разрешение на просмотр содержимого корзины test и извлечение объектов из корзины.