外部用户可以使用我们的存储桶策略中的以下操作访问我们的s3存储桶:
"Action": [
"s3:GetObjectAcl",
"s3:GetObject",
"s3:PutObjectAcl",
"s3:ListMultipartUploadParts",
"s3:PutObject"
]
该用户生成temporary credentials,然后用于将文件上传到我们的存储桶中 .
现在,我无法访问该文件 . 在s3用户界面中,如果我尝试下载文件,我会得到403.如果我尝试更改该对象的权限,我会看到消息:“抱歉!您无权查看该存储桶 . ”如果外部用户在使用临时凭证上载文件时设置了适当的标头(x-amz-acl bucket-owner-full-control),我可以正常访问该文件 . 我觉得很奇怪,即使我拥有该存储桶,外部用户也可以将文件放入我无法访问的文件中 .
是否有可能我可以设置一些策略以便我可以访问该文件,或者这样我可以访问添加到我的存储桶的任何文件,无论它是如何添加的?谢谢!
2 回答
我相信您必须让对象所有者更新ACL或重新编写指定存储桶拥有者完全控制的对象 . 最简单的实验方法是使用CLI:
是的,我认为你必须为每个对象做一次,我不认为有一个递归选项 .
AWS发布example bucket policy至 prevent 将对象添加到存储桶,而不会让存储桶拥有者完全控制 . 但这不会解决您斗中已有对象的所有权问题 .
我不知道任何将所有权自动转移到存储桶拥有者的策略 .
您实际上可以使用复制和递归选项将所有对象复制回存储桶并使用以下语法设置acl bucket-owner-full-control: