Какой правильный синтаксис для Cloudformation AWS :: IAM :: Политика для полного доступа S3

Question

В скрипте CloudFormation я создаю IAM :: Policy, который применяется к пожарному шлангу Kinesis.У него есть следующее заявление PolicyDocument

Statement:
  - Effect: Allow
    Action:
      - 's3:AbortMultipartUpload'
      - 's3:GetBucketLocation'
      - 's3:GetObject'
      - 's3:ListBucket'
      - 's3:ListBucketMultipartUploads'
      - 's3:PutObject'
    Resource: arn:aws:s3:::mybucketname

Это взято из документов AWS.

Когда я тестирую это с помощью Test Data, он не пропускает никаких данных.Если я отредактирую Политику и добавлю S3FullAccess, она начнет пропускать Тестовые данные в корзину S3.Я также пытался с

Resource: arn:aws:s3:::mybucketname/*

и получал те же результаты.

Если я изменю сценарий CloudFormation на этот

Statement:
  - Effect: Allow
    Action: 's3:*'
    Resource: '*'

он позволяет проверять данные через.

Что не так с первым утверждением?

Answer 1

Эти действия выполняются на уровне сегмента и требуют ресурса arn:aws:s3:::mybucketname:

• s3:GetBucketLocation
• s3:ListBucket
• s3:ListBucketMultipartUploads

Эти действия выполняются на уровне объекта и требуют ресурса arn:aws:s3:::mybucketname/* (или определенного префикса, например arn:aws:s3:::mybucketname/invoices/*):

• s3:AbortMultipartUpload
• s3:GetObject
• s3:PutObject

Вы можете выяснить, действует ли действие на уровне Bucket или Object просмотрев столбец Типы ресурсов для: Действия, ресурсы и ключи условий для Amazon S3 - Управление идентификацией и доступом AWS

Вы можете перечислить действия отдельно,или объедините их с:

    Action:
      - 's3:AbortMultipartUpload'
      - 's3:GetBucketLocation'
      - 's3:GetObject'
      - 's3:ListBucket'
      - 's3:ListBucketMultipartUploads'
      - 's3:PutObject'
    Resource:
      - arn:aws:s3:::mybucketname
      - arn:aws:s3:::mybucketname/*

Answer 2

Посмотрите, можете ли вы попробовать cloudkast . Это онлайн-генератор шаблонов облачной информации.