Ich habe eine Wolkenbildungsvorlage in einem S3-Bucket (die URL folgt dem Muster, ist aber nicht exakt gleich: https://s3.amazonaws.com/bucket-name/cloudform.yaml). Ich muss in der Lage sein, über CLI auf ein Bash-Skript zuzugreifen. Ich würde es vorziehen, dass jeder in einer Organisation (alle in diesem einen Konto) Zugriff auf diese Vorlage hat, aber andere Personen außerhalb der Organisation haben keinen Zugriff auf die Vorlage. Ein Eimer Politik Ich habe versucht wie folgt aussieht:S3 Principal Bucket Policy Permissions
{
"Version": "2012-10-17",
"Id": "Policy11111111",
"Statement": [
{
"Sid": "Stmt111111111",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::7777777777:root"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::bucket-name/*"
}
]
}
Mit dieser Politik, ich und ein paar andere Leute in meinem Büro sind nicht in der Lage die URL zuzugreifen. Selbst wenn ich mit dem root-Account angemeldet bin, bekomme ich Zugriff verweigert.
Auch diese Änderung (nur Haupt Einstellung *) macht den Eimer für jedermann zugänglich:
{
"Version": "2012-10-17",
"Id": "Policy11111111",
"Statement": [
{
"Sid": "Stmt111111111",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::bucket-name/*"
}
]
}
Offensichtlich ist die Zeichen auf meinen Hauptfeldpunkt falsch konfiguriert sind. 777777777 ist der Ersatz für die Konto-ID, die auf der Seite Mein Konto angezeigt wird.
Also, muss ich mich darum auf der IAM-Front sorgen? In Anbetracht dessen, dass ich als root-Benutzer angemeldet bin, würde ich annehmen, dass ich Zugriff darauf haben sollte, solange ich eine Bucket-Richtlinie einfüge. Jede Hilfe würde sehr geschätzt werden.