AWS S3 Bucket Policy - доступ только для чтения для указанной c «папки»

Question

Я пытаюсь ограничить доступ одного из пользователей IAM к «папке» в сегменте S3. Я думал, что это настроено правильно, но доступ для чтения не работает.

{
        "Sid": "TEST_PublicReadGetObject",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::807676775814:user/project/api/testuserapi-abc123"
        },
          "Action": [
            "s3:GetObject",
            "s3:ListBucket",
            "s3:ListBucketByTags",
            "s3:ListBucketMultipartUploads",
            "s3:ListBucketVersions",
            "s3:ListMultipartUploadParts"
        ],
        "Resource":
            "arn:aws:s3:::testbucket-securitytest/timeline/*"
    }

Что-то мне не хватает? Есть ли иногда задержка с внесением этих изменений или они должны быть мгновенными?

Answer 1

Думаю, я понял, что сначала должен был разрешить доступ к ListBucket, а затем добавить действие, чтобы разрешить только GetObject для этой «папки». :) --- Просто нужно почитать документацию внимательнее

{
        "Sid": "TEST_ListItems",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::807676775814:user/project/api/testuserapi"
        },
        "Action": "s3:ListBucket",
        "Resource": "arn:aws:s3:::testbucket"
    },
    {
        "Sid": "TEST_PublicReadGetObject",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::807676775814:user/project/api/testuserapi
        },
        "Action": "s3:GetObject",
        "Resource": "arn:aws:s3:::testbucket/Timeline/*"
    }`