Ist es möglich, einen Amazon S3-Konto-Bucket (der von ACL-Einstellungen gemeinsam genutzt wird) für die Benutzer freizugeben, die die neue Amazon AIM-API unter einem anderen Konto verwenden?
Ich kann eine funktionierende IAM-Richtlinie erstellen, wenn sie sich auf die Benutzer und Objekte bezieht, die zu einem einzigen Konto gehören. Aber wie es scheint, funktioniert dies nicht mehr, wenn zwei verschiedene Konten beteiligt sind - obwohl Konto 2 in der Lage ist, direkt auf den Bucket von Konto 1 zuzugreifen.
Ein Beispiel dafür ist die Richtlinie:
{
"Statement": \[
{
"Effect": "Allow",
"Action": \[
"s3:\*"
\],
"Resource": \[
"arn:aws:s3:::test1234.doom",
"arn:aws:s3:::test.doom"
\],
"Condition": {}
}
\]
}
In diesem Fall kann der AIM-Benutzer den Bucket "test.doom" (der demselben AWS-Konto gehört) auflisten und nicht den Bucket "test1234.doom" (der einem anderen AWS-Konto gehört). Dies ist der Fall, obwohl ein Konto die richtigen ACL-Berechtigungen für den Zugriff auf den anderen Bucket hat.