Một người dùng bên ngoài có quyền truy cập vào xô s3 của chúng tôi, sử dụng những hành động trong chính sách xô của chúng tôi:S3: Người dùng không thể truy cập đối tượng trong xô s3 của mình nếu được tạo ra bởi một người dùng khác
"Action": [
"s3:GetObjectAcl",
"s3:GetObject",
"s3:PutObjectAcl",
"s3:ListMultipartUploadParts",
"s3:PutObject"
]
Đó user generated temporary credentials, mà sau đó được sử dụng để tải tệp lên trong nhóm của chúng tôi.
Hiện tại, tôi không thể truy cập tệp. Trong giao diện người dùng s3, nếu tôi cố gắng tải xuống tệp, tôi nhận được 403. Nếu tôi cố gắng thay đổi quyền trên đối tượng đó, tôi thấy thông báo: "Rất tiếc! Bạn không có quyền xem nhóm này". Nếu người dùng bên ngoài đặt tiêu đề thích hợp (x-amz-acl bucket-owner-full-control) khi tải tệp lên bằng thông tin đăng nhập tạm thời, tôi có thể truy cập tệp thông thường. Có vẻ lạ với tôi rằng mặc dù tôi sở hữu cái xô, người dùng bên ngoài có thể đưa các tệp vào nó mà tôi không thể truy cập.
Có thể rằng có một số chính sách mà tôi có thể thiết lập để tôi có thể truy cập các tập tin, hoặc để tôi có thể truy cập vào bất kỳ tập tin đó sẽ được thêm vào xô của tôi, bất kể cách nó được thêm vào? Cảm ơn!
Bạn đúng, và điều này là do thiết kế. Nếu bạn cho phép những người dùng khác tải lên nhóm của mình và không thực thi 'toàn bộ chủ sở hữu nhóm 'khi tải lên bằng chính sách nhóm, thì hành động * only * có sẵn cho chủ sở hữu nhóm là xóa đối tượng. Mọi thứ khác yêu cầu sự cho phép phải được chủ sở hữu đối tượng cấp. –
rất hữu ích, thankyou. – eric
Như chú thích, để làm việc với lệnh 'cp' hoặc' mv', người dùng cũng cần sự cho phép đối với hành động 'PutObjectAcl', kiến thức này sẽ tiết kiệm cho tôi một giờ;) –