您可能有几个策略语句，这个错误是非常普遍的。最好的方法是注释除任何一个以外的所有其他语句(如GetObject，或ListBuckets，或PutObject)并执行代码并查看。如果工作正常，就意味着ARN路径是正确的。否则，ARN应该单独包含桶名或包含/*的桶名。

一些资源(如ListBucket)接受ARN的全名，如“ARN:aws:s3:::bucket_name”，而GetObject或PutObject要求bucket_name后面有一个/*。根据服务更改arn，现在应该可以工作了!

在我的案例中，这个错误的解决方案是试图删除我正在应用的一些动作。其中一些与此资源无关，或者不能使用此资源。 在这种情况下，它不让我包括这些:

GetBucketAcl ListBucket ListBucketMultipartUploads

转到实例中的Amazon S3。 进入“权限->公共访问”页签。 选择“编辑”，取消勾选“阻止所有公共访问”并保存。 您将在权限选项卡和访问控制列表中看到“公共”标签。

来自IAM docs, http://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Action

有些服务不允许您为单个资源指定操作;相反，您在Action或NotAction元素中列出的任何操作都应用于该服务中的所有资源。在这些情况下，在Resource元素中使用通配符*。

有了这些信息，resource的值应该如下所示:

"Resource": "arn:aws:s3:::surplace-audio/*"

您可能有几个策略语句，这个错误是非常普遍的。最好的方法是注释除任何一个以外的所有其他语句(如GetObject，或ListBuckets，或PutObject)并执行代码并查看。如果工作正常，就意味着ARN路径是正确的。否则，ARN应该单独包含桶名或包含/*的桶名。

一些资源(如ListBucket)接受ARN的全名，如“ARN:aws:s3:::bucket_name”，而GetObject或PutObject要求bucket_name后面有一个/*。根据服务更改arn，现在应该可以工作了!

您还可以为每个文件夹配置ListBuckets，如下所示

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSESPuts-1521238702575",
            "Effect": "Allow",
            "Principal": {
                "Service": "ses.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::buckets.email/*",
            "Condition": {
                "StringEquals": {
                    "aws:Referer": "[red]"
                }
            }
        },
        {
            "Sid": "Stmt1586754972129",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::596322993031:user/[red]"
            },
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::buckets.email",
            "Condition": {
                "StringEquals": {
                    "s3:delimiter": "/",
                    "s3:prefix": [
                        "",
                        "domain.co",
                        "domain.co/user"
                    ]
                }
            }
        },
        {
            "Sid": "Stmt1586754972129",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::596322993031:user/[red]"
            },
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::buckets.email",
            "Condition": {
                "StringLike": {
                    "s3:prefix": "domain.co/user/*"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::596322993031:user/[red]"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject"
            ],
            "Resource": "arn:aws:s3:::buckets.email/domain.co/user/*"
        }
    ]
}

这些规则与SES一起用于接收电子邮件，但允许外部用户查看SES放入bucket中的文件。 我按照这里的说明做了:https://aws.amazon.com/blogs/security/writing-iam-policies-grant-access-to-user-specific-folders-in-an-amazon-s3-bucket/

此外，必须将prefix指定为域。co/user/ WITH在使用SDK时，否则你将被拒绝访问。希望能对大家有所帮助