Как я могу установить политику для ведра s3, который позволяет аутентифицированным пользователям перечислить ведро или получить любой файл из ведра

Я установил разрешение на ведро, которое позволяет "Authenticated Users" отображать, загружать и удалять из созданного мной ведра. По-видимому, это позволяет мне загружать файлы в ведро, но похоже, что загрузка этих файлов из этого ведра не распространяется на это разрешение, и вместо этого мне нужно определить политику для ведра. Мне непонятно, как установить такую ​​политику. Я попробовал генератор политики с моими догадками в том, что я должен заполнить, но результат не был допустимой политикой, когда я вставлял ее в качестве новой политики для ведра (с сообщением Action does not apply to any resource(s) in statement - Action "s3:ListBucket" in Statement "Stmt-some-number") это не получилось. Может ли кто-нибудь объяснить, что не так со следующей политикой, и как правильно установить, чтобы разрешенные пользователи могли извлекать файлы из ведра?

{
  "Id": "Policy-some-number",
  "Statement": [
    {
      "Sid": "Stmt-some-number",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::my-bucket/*",
      "Principal": {
        "AWS": [
          "*"
        ]
      }
    }
  ]
}

Ответы

Ответ 1

s3:GetObject применяется к объектам в ведре, поэтому ресурс правильный: "Resource": "arn:aws:s3:::my-bucket/*".

s3:ListBucket применяется к самому ковку, поэтому ресурс должен быть "Resource": "arn:aws:s3:::my-bucket"

ваша итоговая политика должна напоминать:

{
  "Id": "Policy-some-number",
  "Statement": [
    {
      "Sid": "Stmt-some-number",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::my-bucket/*",
      "Principal": {
        "AWS": [
          "*"
        ]
      }
    },
    {
      "Sid": "Stmt-some-other-number",
      "Action": [
        "s3:ListBucket"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::my-bucket",
      "Principal": {
        "AWS": [
          "*"
        ]
      }
    }
  ]
}

Ответ 2

Просто комплимент @c4urself ответ. ответ также помогает решить мою проблему, но есть некоторые указания из документации AWS, в которую вы можете добавить несколько ресурсов, просто используйте [], чтобы сделать их список. http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html#vpc-endpoints-s3-bucket-policies

{
  "Statement": [
    {
      "Sid": "Access-to-specific-bucket-only",
      "Principal": "*",
      "Action": [
        "s3:ListBucket",
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::my_secure_bucket",
                   "arn:aws:s3:::my_secure_bucket/*"]
    }
  ]
}