我只想从特定用户上传文件并允许任何人（公共）在 Amazon S3 上查看它答案

【问题标题】：I want to upload files only from particular user and allow anyone (public) to view it on Amazon S3我只想从特定用户上传文件并允许任何人（公共）在 Amazon S3 上查看它
【发布时间】：2019-09-11 19:13:46
【问题描述】：

尝试拒绝所有人的写入权限并仅允许单个用户写入 Amazon S3 存储桶，但我希望所有用户都可以查看它。因此，我在存储桶上设置了公共访问权限。

IAM 用户 Joe 拥有AmazonS3FullAccess。

这是存储桶策略：

{
    "Id": "Policy98745183475249",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt15681834712546",
            "Action": [
                "s3:PutObject"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::buketname/*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::98754131531:user/Joe"
                ]
            }
        },{
            "Sid": "Stmt15681834478323",
            "Action": [
                "s3:PutObject"
            ],
            "Effect": "Deny",
            "Resource": "arn:aws:s3:::buketname/*",
            "Principal": "*"
        },

    ]
}

但是，它似乎无法正常工作。

【问题讨论】：

标签： amazon-web-services amazon-s3 amazon-iam

【解决方案1】：

Deny 总是胜过Allow。因此，该策略实际上是在拒绝每个人写入存储桶的能力。

用户默认没有权限，因此通常只需要指定Allow 策略。

如果您希望将权限分配给特定 IAM 用户，最好将权限放在 IAM 用户自己身上，而不是放在存储桶策略中。随着将来添加更多权限，这样可以更轻松地管理权限。

因此，您可以在 IAM 中将这样的策略应用于 Joe：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowWrite",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::my-bucket/*"
        }
    ]
}

为了让全世界的每个人都能读取存储桶的内容（注意：从安全角度来看不好！），请使用这样的存储桶策略：

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"AnyoneRead",
      "Effect":"Allow",
      "Principal": "*",
      "Action":["s3:GetObject"],
      "Resource":["arn:aws:s3:::my-bucket/*"]
    }
  ]
}

【讨论】：