AWS S3 - доступ запрещен при получении местоположения корзины

Question

У меня есть корзина "my-bucket" в учетной записи A, и я пытаюсь определить ее местоположение из учетной записи B.

У меня есть следующая политика корзины

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "1",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::11122233344:root"
        },
        "Action": [
            "s3:GetObject",
            "s3:PutObject"
        ],
        "Resource": "arn:aws:s3:::my-bucket/*"
    },
    {
        "Sid": "2",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::11122233344:root"
        },
        "Action": [
            "s3:GetBucketLocation",
            "s3:ListBucket"
        ],
        "Resource": "arn:aws:s3:::my-bucket"
    }
]}

Я также наткнулся на эту документацию, которая содержит ту же политику: https://docs.aws.amazon.com/AmazonS3/latest/dev/example-walkthroughs-managing-access-example2.html

Теперь, используя учетную запись B, я могу успешно выполнить команду aws s3 ls s3://my-bucket, однако с aws s3api get-bucket-location --bucket my-bucket я получаю сообщение об отказе в доступе.

Answer 1

Согласно документации: https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketGETlocation.html

Чтобы использовать эту реализацию операции, вы должны быть владельцем корзины.

Если вы сомневаетесь, всегда обращайтесь кВ документации по API AWS обычно указывается разрешение, необходимое для данного действия.