我想创建一个具有自定义组的用户,该组只允许我访问一个 S3 存储桶,但我在这样做时遇到了困难。
所以我在这个屏幕上:
我已允许 S3 操作。现在我想将它限制在一个特定的存储桶中。我点击“资源”文本,我得到了这个:
我点击两者的“添加 ARN”并得到这个:
我使用“whatever”作为存储桶的“Bucket name”,使用“whatever”作为对象的“Bucket name”(同时将“Object name”留空),然后当我尝试使用新创建的帐户时,在新创建的组,要访问 S3,我发现我无法从存储桶上传或下载文件而不会收到 403 Forbidden 错误。如果我使用“所有资源”而不是“特定”它可以工作,但我只希望该用户有权访问一个特定的存储桶。
有任何想法吗?
看起来您
*在对象声明中缺少通配符。应该在声明存储桶对象
bucket-name/*时代替bucket-name/对于结果条目:
您还没有分享实际的政策,只是向导的屏幕截图。如果您需要有关政策的帮助,请编辑您的帖子以包含它。
有大量在线资源可以帮助解决此问题,例如此 AWS 博客文章和此文档。
我有这个策略,它允许对单个存储桶进行只读访问。我将该策略附加到一个组,并将需要该策略的用户添加到该组。如果您需要不同的权限,只需将它们添加到 json。