我正在创建一个角色来访问另一个账户拥有的 S3 存储桶。 这是我正在使用的角色策略:
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "*"
}
在我开始使用它进行远程访问之前。我意识到它对我在同一帐户中拥有的所有 S3 存储桶具有读取访问权限。然后我试图创建一个“拒绝”语句,但对存储桶的任何建议都需要一个存储桶名称。以下不起作用,它抱怨政策中有 accountId。
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": "s3:*",
"Resource": [
"arn:aws:s3::346303860452:*"
]
}
如何实现仅访问远程存储桶的目标?
谢谢