Политика AWS S3 Bucket - основной синтаксис

Question

Прямо сейчас у меня есть моя политика, определенная в моей корзине S3, но кажется, что принципы, которые я определил, являются корневыми, и когда кто-то под учетной записью, не являющейся root, не попадает в разрешающую часть политики

"Principal": {
                "AWS": [
                    "arn:aws:iam::123:root",
                    "arn:aws:iam::456:root",
                    "arn:aws:iam::789:root",
                    "arn:aws:iam::101:root"
                ]
            },

Я устал указывать его * 1004

"arn:aws:iam::123:*" 

но это не работает.

Я также пытался arn:aws:iam::123:user/sample@yahoo.com, но это тоже, похоже, неверно, так как он не работает с Недопустимый принципал в политике

Answer 1

При предоставлении разрешений для нескольких учетных записей вам необходимо:

1. Политика корзины на Bucket-A в Account-A (как указано выше)
2. Разрешения для пользователей в своей учетной записи на доступ к Bucket-A (которые могут включать широкие разрешения, такие как s3:*, но это редко хорошая идея)

Мало того, что корзина должна разрешать доступ, но пользователям в исходной учетной записи должно быть предоставлено разрешение использовать S3 для желаемых действий (например, s3:GetObject) на Bucket-A (или всех корзинах).

См .: Владелец корзины, предоставляющий разрешения для корзины между учетными записями - Amazon Simple Storage Service