【发布时间】:2011-04-27 00:08:12
【问题描述】:
是否可以将 Amazon S3 账户存储桶(由 ACL 设置共享)暴露给使用不同账户下的新 Amazon AIM API 设置的用户?
当与属于单个账户的用户和对象相关时,我能够创建有效的 IAM 策略。但是,当涉及两个不同的帐户时,这似乎不再有效 - 尽管帐户 2 能够直接访问帐户 1 的存储桶。
示例政策是:
{ “陈述”: [ { “效果”:“允许”, “行动”: [ “s3:*” ], “资源”:[ "arn:aws:s3:::test1234.doom", “arn:aws:s3:::test.doom” ], “健康)状况”: {} } ] }在这种情况下,AIM 用户能够列出 test.doom 存储桶(由同一 AWS 账户拥有)而不是“test1234.doom”存储桶(由不同的 AWS 账户拥有)。尽管一个帐户具有正确的 ACL 权限来访问另一个存储桶。
【问题讨论】:
标签: amazon-web-services amazon-s3 amazon-iam