我有一个将视频上传到 S3 存储桶的应用程序，然后创建一个自定义策略以允许其他用户（用于 Zencoder 服务）获取文件，并将转码后的文件上传回存储桶。

以下是我在转码期间给用户的当前自定义策略。基本上我对整个存储桶授予完全读取权限，但我只允许用户将文件放入特定的嵌套文件夹中。

这在大多数情况下都有效，但在 Zencoder 传输的约 1,000 个文件中，通常有一两个文件因403 Forbidden错误而失败。我不知道为什么，因为文件在错误之前和之后都正确传输。

403 Access Denied在提供此类权限时，Amazon AWS S3 / IAM 是否有任何理由发送？

使用以下存储桶策略时，我看到它按预期限制了 PUT 访问 - 但是在创建的对象上允许 GET，即使没有任何东西应该允许此操作。

我可以使用 curl 将文件放入<BUCKET>如下<IP ADDRESS>：

文件上传成功，并出现在 S3 控制台中。我现在由于某种原因能够从互联网上的任何地方获取文件。

这仅适用于使用上述方法上传的文件。在 S3 Web 控制台中上传文件时，我无法使用 curl 获取它（访问被拒绝）。所以我认为这是一个对象级别的权限问题。虽然我不明白为什么存储桶策略不会隐式拒绝此访问。

在控制台中查看对象级别权限时，通过控制台上传的文件（方法 1）和从允许上传<IP ADDRESS>的文件（方法 2）之间的唯一区别是方法 2 中的文件没有“所有者” 、权限或元数据 - 而方法 1 文件包含所有这些。

此外 - 当尝试使用 Lambda 脚本 (boto3 download_file()) 获取对象时，该脚本承担了对存储桶具有完全访问权限的角色，使用方法 2 上传的对象失败。尽管使用方法 1 上传的对象成功。

我需要发布预签名 URL，以允许用户将文件 GET 和 PUT 到特定的 S3 存储桶中。我创建了一个 IAM 用户并使用其密钥创建预签名 URL，并添加了嵌入该用户的自定义策略（见下文）。当我使用生成的 URL 时，我的AccessDenied策略出现错误。如果我将FullS3Access策略添加到 IAM 用户，则文件可以是具有相同 URL 的 GET 或 PUT，因此显然缺少我的自定义策略。它有什么问题？

这是我正在使用但不起作用的自定义策略：

我已经通过 AWS 控制台设置了云端。不知何故，云端无法访问 Amazon S3 对象并引发 403 响应错误。

我相信这是一个 s3 存储桶策略问题。以下是我目前的桶策略

您能否帮助我修改现有的存储桶策略以便云端可以访问 s3 对象？

编辑：添加 s3 原点快照

添加通用参数

添加请求的标头：

我想创建一个拥有AdministratorAccess和管理所有内容的用户，例如拒绝 IAM 中的删除和更新操作

我试着这样做

• 创建管理员用户
• 在 IAM 中创建拒绝删除和更新操作的策略
• 将该策略附加到用户
• 用户现在拥有（AdministratorAccess + MyPolicy）

但

• 用户仍然可以在 IAM 中删除和更新用户
• 我认为这是因为AdministratorAccess

有没有办法做到这一点，而无需尝试创建复杂的多个策略？

更新

这是我创建的政策

更新 2

将资源设置为 后arn:aws:iam::1234，它起作用了！

我正在将目录从 Linux 服务器同步到 AWS S3 以进行备份。

但是，我注意到当我想像这样恢复备份时：

所有者和文件权限不同。我可以做些什么或更改代码以保留文件的原始 Linux 信息吗？

谢谢！

我在 AWS Route 53 上管理一个域，并且我在分布在 3 个主要区域的 3 台服务器上以 api 的形式公开了一项服务：我们、亚洲、欧盟。

我创建了一个流量策略，以根据延迟将客户端重定向到适当的区域。

所以客户端通过 进来api.example.com，进入这个基于延迟的策略并在最近的服务器退出。哪个有效……但有一个问题。我不知道如何启用https，所以我可以让我的客户使用https://api.example.com.

有任何想法吗？

因此，我正在为 AWS 中的角色构建 cf 堆栈，但在设计不基于资源的角色时，我不知道如何处理该AssumeRolePolicyDocument领域。

我尝试查找的所有示例都在该"Principal"字段下指定了特定的 AWS 资源（例如"Service": "ec2.amazonaws.com"）。

AssumeRolePolicyDocument对于为用户而不是资源设计的角色，该领域的正确方法是什么？

我是否可以应用策略（例如对 AWS DynamoDB 表）但基于 Cognito 用户的特定字段（Cognito id 除外）对其进行限制？

我要实现的目标： 我有多个 Cognito 用户属于一个特定的组。每个组可以有多个用户。有很多组> 1000。

1. 每个组都应有权读取/写入属于该组的 DynamoDB 表中的行（为此，该表具有 GroupName 字段）。
2. 每个用户都应该拥有与他所属的组相同的权限。

我想检查 MyCognitoUser.GroupName 等于 row.GroupName 的策略文件

因此，如果我要为开发人员创建一个联合开发人员角色 (duh) 并以 cf 模板的形式将其推送到 AWS，那么该角色的名称就是我所命名的。但由于某种原因，如果该角色是为 AWS 服务/资源设计的（例如，用于 EC2 实例的 Lambda 角色），则该角色会附加一个看似随机的 12 个字符的字符串。

例如：iam-lam-role-85C94J38RDE2

为什么 CloudFormation 会自动附加它？