我有一个客户,我希望他能够上传文件,但不能在我的 S3 存储桶中自由导航。我已为他们创建了一个 IAM 用户帐户,并应用了以下策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1416387009000",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "Stmt1416387127000",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::progress"
]
},
{
"Sid": "Stmt1416387056000",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::progress/*"
]
}
]
}
共有三种说法:
用户可以使用其用户名和密码(以及我的自定义账户 URL,即 https://account.signin.aws.amazon.com/console)登录 AWS 控制台。他们可以转到控制台的 S3 部分,并查看我所有存储桶的列表。但是,如果他们单击progress,那么他们只会收到以下错误消息:
对不起!您被拒绝执行此操作。
我已使用 IAM 策略模拟器检查用户是否对存储桶的 ARN (
ListBucket
) 具有 arn:aws:s3:::progress
权限,并且策略模拟器表示应允许该用户。
我已经以目标用户身份注销并再次登录,以防策略仅在注销时刷新,但仍然不高兴。
我做错了什么?我是不是错过了什么?
我的猜测是,当使用 AWS 控制台时,会进行另一个调用来获取存储桶位置,然后才能列出该存储桶中的对象,并且用户无权进行该调用。您还需要授予他对
GetBucketLocation
的帐户访问权限。 文档中的相关文本
当您使用 Amazon S3 控制台时,请注意,当您单击存储桶时, 控制台首先发送 GET Bucket location 请求来查找 部署存储桶的 AWS 区域。然后控制台使用 用于发送 GET Bucket 的存储桶的特定于区域的端点(列表 对象)请求。因此,如果用户要使用控制台, 您必须授予 s3:GetBucketLocation 操作权限,如图所示 在以下政策声明中:
{
"Sid": "RequiredByS3Console",
"Action": ["s3:GetBucketLocation"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::*"]
}