Estoy experimentando con puntos de acceso de varias regiones y su sintaxis de políticas demasiado complicada, y no puedo hacer que funcionen las cosas más simples.
Tengo 3 cubos generados en todo el mundo y creé un único punto de acceso. Todos mis artículos son privados ya que mi política de punto de acceso multirregional aún no está configurada.
Hasta ahora tengo esto:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3::<my account id>:accesspoint/xyz.mrap"
],
"Condition": {
"StringEquals": {
"s3:DataAccessPointAccount": "<my account id>"
}
}
}
]
}
El error indicado dice:
La acción no se aplica a ningún recurso(s) en la declaración
Su ejemplo usa "Action": "*",pero quiero limitar esto.
¿Alguien puede ayudarme con lo que está mal con mi póliza?
Solución del problema
s3:GetObjectse aplica sólo a los objetos. Tu arn:aws:s3::<my account id>:accesspoint/xyz.mraprepresenta el punto de acceso, no sus objetos. Así debería ser:
"Resource": [
"arn:aws:s3::<my account id>:accesspoint/xyz.mrap/*"
],
No hay comentarios:
Publicar un comentario