现在我已在S3存储桶上定义了策略,但似乎已定义的原则是root,并且帐户中不是root的用户没有进入策略的允许部分
"arn:aws:iam::123:*"
我很讨厌将其指定为
arn:aws:iam::123:user/sample@yahoo.com但这不起作用。
我也尝试了{{1}},但由于 无效的委托人原则
而失败,这似乎也不正确答案 0 :(得分:0)
授予跨帐户权限时,您需要同时满足以下两个条件:
Bucket-A中Account-A的存储桶策略(如上所述)Bucket-A的权限(可以包括s3:*之类的广泛权限,但这不是一个好主意)不仅存储桶需要允许访问,而且还必须授予原始帐户中的用户使用S3进行s3:GetObject(或所有存储桶)上所需操作(例如Bucket-A)的权限。
请参阅:Bucket Owner Granting Cross-Account Bucket Permissions - Amazon Simple Storage Service