3

我已经设置了一个 Web 服务来为 amazon s3 中的存储桶创建临时凭证,以便另一个应用程序可以使用这些临时凭证上传文件。

我想在存储桶中为每个 userId 创建单独的文件夹,临时凭证将只允许特定用户访问该文件夹

这是我目前使用的政策

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "1",
        "Effect": "Allow",
        "Action": [
            "s3:*"
        ],
        "Resource": [
            "arn:aws:s3:::myTestBucket/1/*"
        ]
    }
]

}

到目前为止,这允许调用应用程序将文件上传到 myTestBucket 中的文件夹 1,而不是预期的文件夹 2。其中一个应用程序现在需要为每个用户列出文件夹中的对象。

当我使用临时凭据执行此操作时,使用相同的策略会出现以下异常

Status Code: 403, AWS Service: Amazon S3, AWS Request ID: 7BC4C177E8CA1762, AWS Error Code: AccessDenied, AWS Error Message: Access Denied

任何人都可以建议我的政策中需要更新哪些内容以允许我列出文件吗?

4

1 回答 1

3

列表存储桶操作是在存储桶上进行的,因此必须更新您的策略以允许对存储桶进行特定操作

使用像下面这样的策略将使用户能够上传、获取和删除他们的文件并列出他们的文件:

{
  "Version": "2012-10-17",
  "Statement": [
     {
       "Effect":"Allow",
       "Action":["s3:PutObject","s3:GetObject","s3:DeleteObject"],
       "Resource":"arn:aws:s3:::__MY_APPS_BUCKET_NAME__/__USERNAME__/*"
     },
     {
       "Effect":"Allow",
       "Action":"s3:ListBucket",
       "Resource":"arn:aws:s3:::__MY_APPS_BUCKET_NAME__",
       "Condition":{"StringLike":{"s3:prefix":"__USERNAME__/"}}
     }
  ]
}
于 2013-11-01T21:13:35.263 回答