Разрешение публичного чтения и полного контроля владельца корзины в S3

Question

Я пытаюсь сделать доступным для чтения множество изображений, даже если они загружены из другой учетной записи AWS.У меня есть текущая политика размещения:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AddPerm",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::mybucketname/*"
        }
    ]
}

Это прекрасно работает, когда я загружаю с использованием учетных данных из основной учетной записи, но когда я загружаю из другой учетной записи, добавленной ACL, это не применяется.Когда я прочитал, я обнаружил, что вы можете добавить bucket-owner-full-control или public-read, но не оба одновременно.Моя конечная цель - предоставить объекту полный доступ к обеим учетным записям AWS и иметь открытый доступ для чтения при загрузке.Возможно ли это (в идеале без двух запросов)?

Answer 1

Нет, кажется, вы можете указать только один ACL при создании объекта в Amazon S3.

Подробнее о том, что означает каждый постоянный ACL, см .: Консервированный ACL

Подробнее о том, как работает владение, см .: Владение Amazon S3 Bucket и Object *

Лично я бы не рекомендовал использовать ACL для контроля доступа. Они являются пережитком с первых дней Amazon S3. В настоящее время я бы рекомендовал использовать Bucket Policy , если вы хотите сделать большое количество объектов общедоступными, особенно если они находятся в одном сегменте / пути.

Таким образом, объект может быть загружен с помощью bucket-owner-full-access, и Политика Bucket может сделать их общедоступными.