Политика S3, позволяющая пользователю вводить, получать, удалять и изменять разрешения

Я работаю над созданием документа политики, позволяющего пользователям IAM называть S3 в конкретном "блоге", где они могут создавать/редактировать/удалять файлы, а также изменять права доступа к файлам в ведро для глобального чтения, поэтому загруженные файлы могут быть обнародованы в блоге. Вот что я до сих пор, только проблема заключается в том, что политика не позволяет пользователю изменять разрешения.

Как обновить эту политику, чтобы позволить пользователю изменять разрешения для глобального доступа для чтения?

{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Effect": "Allow",
 "Action": ["s3:ListAllMyBuckets"],
 "Resource": "arn:aws:s3:::*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "s3:ListBucket",
 "s3:GetBucketLocation"
 ],
 "Resource": "arn:aws:s3:::blog"
 },
 {
 "Effect": "Allow",
 "Action": [
 "s3:PutObject",
 "s3:GetObject",
 "s3:DeleteObject"
 ],
 "Resource": "arn:aws:s3:::blog/*"
 }
 ]
}

Спасибо

1 ответ

проблема только в том, что политика не позволяет пользователю изменять разрешения.

Правильно. Вы предоставили только разрешения Put, Get и Delete. Чтобы обеспечить доступ для управления разрешением на уровне объектов, вам необходимо предоставить доступ к API s3:PutObjectAcl.

Отметьте s3: Документация Action IO PutObjectAcl и S3 PUT Object acl Документация для получения более подробной информации о том, как вы можете использовать этот API.

licensed under cc by-sa 3.0 with attribution.