我遵循这个答案的说明来生成以下S3桶策略:
{
"Id": "Policy1495981680273",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1495981517155",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::surplace-audio",
"Principal": "*"
}
]
}
我得到以下错误:
操作不适用于语句中的任何资源
我的保单中遗漏了什么?
当前回答
这很简单,只需要在结尾加上“/*”。您只给出了根目录链接,但是需要将操作应用到对象。
类型, “资源”:“在攻击:aws: s3::: surplace-audio / *”
其他回答
仅仅删除s3:ListBucket权限对我来说并不是一个足够好的解决方案,可能对其他许多人来说也不是。
如果你想要s3:ListBucket权限,你只需要有桶的普通arn(没有结尾的/*),因为这个权限适用于桶本身,而不是桶内的项目。
如下所示,你必须拥有s3:ListBucket权限,作为一个单独的语句,与bucket内的项目相关的权限,如s3:GetObject和s3:PutObject:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Principal": {
"AWS": "[IAM ARN HERE]"
},
"Resource": "arn:aws:s3:::my-bucket-name"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Principal": {
"AWS": "[IAM ARN HERE]"
},
"Resource": "arn:aws:s3:::my-bucket-name/*"
}
]
}
这很简单,只需要在结尾加上“/*”。您只给出了根目录链接,但是需要将操作应用到对象。
类型, “资源”:“在攻击:aws: s3::: surplace-audio / *”
在我的案例中,这个错误的解决方案是试图删除我正在应用的一些动作。其中一些与此资源无关,或者不能使用此资源。 在这种情况下,它不让我包括这些:
GetBucketAcl ListBucket ListBucketMultipartUploads
参考AWS >文档> AWS身份和访问管理>用户指南 https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html
它在注释中明确定义,有些服务不允许您为单个资源指定操作。
在Resource元素中使用通配符*
“资源”:“当arn: aws s3::: surplace-audio / *
您必须检查Policy-的Resource标记下定义的arn模式
“资源”:“当arn: aws s3::: s3mybucketname / *
在桶的公共访问策略被解除后,如果你遇到这个问题,在结尾添加“/*”将有助于解决这个问题。
