通常,来自其他服务的 S3 权限通过存储桶策略进行管理,例如:允许 Cloudtrail 将日志发送到 S3。
然而,对于CRR (Cross-Region replication)或SRR (Same-Region replication),AWS 考虑使用 Roles 来获得 S3 权限 - 我只是在想他们从未将桶策略分别放在 Source 和 Target 上的原因可能是什么桶允许委托人作为"Principal": {"Service": "s3.amazonaws.com"}
这可能只是 AWS 的设计偏好,还是解决了任何其他潜在挑战?