Разрешения корзины S3 для нескольких аккаунтов

Question

Я пытаюсь предоставить доступ к корзине S3 другой учетной записи с помощью пользовательского интерфейса S3:

Permissions -> Access Control List -> Access for other AWS accounts

Я знаю канонический идентификатор учетной записи, которую я хочу предоставить. Это код из 161 символа. Когда я пытаюсь добавить его, я получаю следующую ошибку:

ошибка канонического идентификатора

Я почти уверен, что использую правильный идентификатор, потому что там написано Canonical user ID (for Amazon S3) Что не так?

Answer 1

Если вы используете sh для предоставления доступа к сегменту другой учетной записи AWS, я бы рекомендовал использовать политику сегмента . Это позволяет пользователям другой учетной записи использовать свои обычные учетные данные для доступа к корзине.

Вот пример политики корзины, которая предоставляет доступ конкретному пользователю c в другой учетной записи AWS:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::my-bucket",
        "arn:aws:s3:::my-bucket/*"
        ],
      "Principal": {
        "AWS": [
          "arn:aws:iam::ACCOUNT-ID:user/foo"
        ]
      }
    }
  ]
}

Answer 2

Вероятно, вы используете неправильный идентификатор. Ознакомьтесь с этим документом, чтобы узнать, как получить тот, который вам нужен здесь: AWS идентификаторы учетных записей - AWS Общая ссылка

При этом, в большинстве случаев Было бы лучше не использовать список управления доступом, а получить доступ к S3 через роли перекрестной учетной записи. Чтобы узнать больше, просмотрите: Обеспечение доступа между учетными записями к объектам в сегментах S3