我遵循这个答案的说明来生成以下S3桶策略:
{
"Id": "Policy1495981680273",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1495981517155",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::surplace-audio",
"Principal": "*"
}
]
}
我得到以下错误:
操作不适用于语句中的任何资源
我的保单中遗漏了什么?
当前回答
您必须检查Policy-的Resource标记下定义的arn模式
“资源”:“当arn: aws s3::: s3mybucketname / *
在桶的公共访问策略被解除后,如果你遇到这个问题,在结尾添加“/*”将有助于解决这个问题。
其他回答
您必须检查Policy-的Resource标记下定义的arn模式
“资源”:“当arn: aws s3::: s3mybucketname / *
在桶的公共访问策略被解除后,如果你遇到这个问题,在结尾添加“/*”将有助于解决这个问题。
只需在json policy resource中做一个更改。
"Resource": ["arn:aws:s3:::bucket-name/*"]
注意:在bucket-name后面加/*
参考文档: https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html
来自IAM docs, http://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Action
有些服务不允许您为单个资源指定操作;相反,您在Action或NotAction元素中列出的任何操作都应用于该服务中的所有资源。在这些情况下,在Resource元素中使用通配符*。
有了这些信息,resource的值应该如下所示:
"Resource": "arn:aws:s3:::surplace-audio/*"
我发现我的ListBuckets没有工作,因为IAM原则没有ListAllMyBuckets权限。
刚刚遇到了这个问题,并为那些想要在同一策略中拥有ListBucket和GetObject的人找到了一个更短的解决方案。重要的是在Resource下列出bucket-name和bucket-name/*。
{
"Id": "Policyxxxx961",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmtxxxxx4365",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
],
"Principal": "*"
}
]
}
