AWS S3 授予对指定存储桶的组下载权限答案

【问题标题】：AWS S3 Give group download rights on specified bucketAWS S3 授予对指定存储桶的组下载权限
【发布时间】：2015-02-21 18:21:32
【问题描述】：

我创建了一个用户，并将他们放在一个组中。该组附加了以下策略：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1424542175000",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::acme-reports/*"
      ]
    }
  ]
}

当我使用该用户登录并尝试访问 https://s3-us-west-2.amazonaws.com/acme-reports/uploadedFile.txt 时，我被拒绝访问。

我假设这个用户组应该能够在登录后直接通过 URL 访问文件是错误的吗？还是只能通过 AWS 管理控制台访问文件？

【问题讨论】：

您用于访问控制台的登录名不会自动应用于 s3 URL。当您从 s3 控制台下载私有文件时，您会看到它在 URL 中添加了身份验证参数。

标签： amazon-web-services amazon-s3

【解决方案1】：

通过 IAM 策略指定的权限允许您仅使用 AWS 控制台或 AWS S3 API 访问文件。如果您想通过 URL 访问您的文件，您需要使用 ACL 设置或存储桶策略应用公共权限。

为了使用 ACL 公开您的文件，您需要执行以下步骤：

打开 S3 管理控制台https://console.aws.amazon.com/s3/
选择您的存储桶、文件夹或文件，转到“属性 | 权限 | 添加更多权限”

您也可以应用 Bucket Policy，它提供了更灵活的方式来控制您的权限：

打开 S3 管理控制台https://console.aws.amazon.com/s3/
选择您的存储桶，转到“属性 | 编辑存储桶政策”

有关存储桶策略和 ACL 权限的更多信息，请参阅以下 AWS 文档：
http://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html
http://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies.html

【讨论】：