通过存储桶策略删除具有所有人读取权限的 AWS S3 存储桶

Question

假设我有一个具有“所有人阅读”权限的 S3 存储桶。存储桶不公开。意味着任何人都可以通过在浏览器中输入对象的 url 来访问对象。现在我想从浏览器中的 URL 中删除此访问权限。一种选择是转到每个图像并从“所有人”部分中删除“阅读”。但由于有大量的图像，所以这是不可行的。

那么我可以设置这样的存储桶策略，它只允许一个 IAM 用户而不是浏览器的东西访问吗？我尝试添加这样的存储桶策略，只允许特定用户访问所有资源，但仍可以通过 URL 浏览访问静态图像。有什么想法吗？

编辑：添加我尝试过的策略

{
  "Id": "Policy1",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1",
      "Action": "s3:*",
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::test-bucket-public-issue",
      "Principal": {
        "AWS": [
          "arn:aws:iam::AccounId:user/Username"
        ]
      }
    }
  ]
}

Answer 1

好的@Himanshu Mohan 我会向你解释我做了什么。我创建了一个 S3 存储桶，然后添加了以下存储桶策略

{
    "Version": "2012-10-17",
    "Id": "Policy1534419239074",
    "Statement": [
        {
            "Sid": "Stmt1534419237657",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::xxx-xxx-test/*"
        }
    ]
}

添加此策略时，存储桶将自动公开

然后我上传了一张你提到的图片，我可以通过浏览器访问同一张图片。

现在我把政策改回你说的那样

现在我无法访问图像，将显示访问被拒绝xml 响应。我看到的唯一区别是我在存储桶名称"Resource": "arn:aws:s3:::xxx-xxx-test/*" 之后添加了/*。