amazon-web-services - 允许 AWS IAM 用户访问共享存储桶/对象

Question

是否可以使用不同账户下的新 Amazon AIM API 向用户设置公开 Amazon S3 账户存储桶（由 ACL 设置共享）？

当与属于单个账户的用户和对象相关时，我能够创建有效的 IAM 策略。但是，当涉及两个不同的帐户时，这似乎不再有效 - 尽管帐户 2 能够直接访问帐户 1 的存储桶。

示例政策是：

{
  “陈述”： [
    {
      “效果”：“允许”，
      “行动”： [
        “s3：*”
      ],
      “资源”：[
        "arn:aws:s3:::test1234.doom",
        “arn:aws:s3:::test.doom”
      ],
      “健康）状况”： {}
    }
  ]
}

在这种情况下，AIM 用户能够列出 test.doom 存储桶（由同一 AWS 账户拥有）而不是“test1234.doom”存储桶（由不同的 AWS 账户拥有）。尽管一个帐户具有正确的 ACL 权限来访问另一个存储桶，但仍然如此。

Answer 1

看来这是无法做到的。

http://aws.amazon.com/iam/faqs/#Will_users_be_able_to_access_data_controlled_by_AWS_Accounts_other_than_the_account_under_which_they_are_defined

尽管看起来将来他们可能会被允许在另一个帐户下创建数据。

http://aws.amazon.com/iam/faqs/#Will_users_be_able_to_create_data_under_AWS_Accounts_other_than_the_account_under_which_they_are_defined