是否可以使用不同帐户下的新Amazon AIM API向用户设置公开Amazon S3帐户存储桶(由ACL设置共享)?
当与属于单个帐户的用户和对象相关时,我能够创建有效的IAM策略 . 但是,当涉及两个不同的帐户时,它似乎不再有效 - 尽管帐户2可以直接访问帐户1的存储桶 .
示例政策是:
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::test1234.doom",
"arn:aws:s3:::test.doom"
],
"Condition": {}
}
]
}
在这种情况下,AIM用户可以列出test.doom存储桶(由同一AWS账户拥有)而不是'test1234.doom'存储桶(由不同的AWS账户拥有) . 尽管有一个帐户具有访问另一个存储桶的正确ACL权限 .
1 回答
看起来这是无法做到的 .
http://aws.amazon.com/iam/faqs/#Will_users_be_able_to_access_data_controlled_by_AWS_Accounts_other_than_the_account_under_which_they_are_defined
虽然看起来将来可能会允许他们在另一个帐户下创建数据 .
http://aws.amazon.com/iam/faqs/#Will_users_be_able_to_create_data_under_AWS_Accounts_other_than_the_account_under_which_they_are_defined