我有一个带有两个文件夹(文件夹 1 和文件夹 2)的 s3 存储桶,我希望所有 IAM 用户都可以访问文件夹 1,但只有管理员可以访问文件夹 2。
所以我所做的是:
对于管理员:我将他们添加到具有 s3 完全访问策略的组中。
对于其他用户:我使用以下策略将他们添加到另一个组。
这应该可以完美运行,但由于某种原因,当用户尝试访问文件夹 2 时,使用“Cyber Duck”的用户获得了权限被拒绝,这是必需的,但一些使用“ExpanDrive”的用户能够访问文件夹 2。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowListBucket",
"Effect": "Allow",
"Action": "s3:*",
"Resource": "arn:aws:s3:::*"
},
{
"Sid": "DenyFolder2Access",
"Effect": "Deny",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringLike": {
"s3:prefix": "folder2/*"
}
}
}
]
}
我看不出这里有什么问题,如果有任何帮助,我将不胜感激。