我需要授予外部用户访问单个Amazon S3存储桶文件夹的权限。我有他们的ARN信息,但在授予访问权限时遇到问题。
{
"Version": "2012-10-17",
"Id": "S3AccessPolicy",
"Statement": [
{
"Sid": "TestAccess",
"Effect": "Allow",
"Principal": {
"AWS": "<external ARN>"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::rootlevelbucket",
"arn:aws:s3:::rootlevelbucket/specificfolder/*"
]
}
]
}
答案 0 :(得分:2)
有两个方面可以跨帐户访问。您具有存储桶策略的第一部分,但是外部帐户的管理员需要使用以下IAM策略向用户授予对S3的访问权限。您可以在IAM策略上使用s3:*,因为存储桶策略将仅限于您列出的命令。
外部用户的IAM策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RootlevelbucketAccess",
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::rootlevelbucket",
"arn:aws:s3:::rootlevelbucket/specificfolder/*"
]
}
]
}