У меня есть клиент, который хочет предоставить конкретным папкам доступ к корневому пользователю или EMR_DefaultRole.
Итак, я создал политику сегментов, которая содержит следующее:
{
"Version": "2012-10-17",
"Id": "DenyAllExceptRoot",
"Statement": [
{
"Sid": "DenyPolicyS31",
"Effect": "Deny",
"NotPrincipal": {
"AWS": [
"arn:aws:iam::031342435657:role/EMR_DefaultRole",
"arn:aws:iam::031342435657:root"
]
},
"Action": "s3:DeleteObject",
"Resource": "arn:aws:s3:::prod-bucket-singapore-1/test/*"
}
]
}
Но эта политика не позволяет моей роли IAM удалять содержимое теста папки.
Я использовал действие: Deny и NotPrincipal.
Как мне решить эту проблему?