aws Разрешения на запись s3 - доступ определен

Question

Я написал политику s3 с помощью генератора json

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObjectAcl",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:GetBucketLocation",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::XXXXX"
        }
    ]
}

Мне удалось войти в корзину, чтобы не писать, чего не хватает?

Answer 1

необходимо дать разрешение на запись объектам ведра. Группе должно быть предоставлено разрешение корзины списка.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": ["arn:aws:s3:::XXXXX/*", "arn:aws:s3:::XXXXX"]
        }
    ]
}

Answer 2

Текущая политика применяется только к корзине. Для объектов вам нужно указать /* после имени корзины:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObjectAcl",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:GetBucketLocation",
                "s3:PutObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::XXXXX", 
                "arn:aws:s3:::XXXXX/*"
             ]
        }
    ]
}

ListBucket и GetBucketLocation относятся к ведру, поэтому вам также понадобится bucket arn (т.е. без /*).