我似乎不知道必须向策略添加哪些权限才能允许IAM用户访问查看/下载对象的早期版本。
目前,我的策略包含以下权限。一旦登录AWS控制台网站,用户确实可以看到bucket中所有对象的以前版本的完整历史:
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketVersioning",
"s3:ListBucketVersions",
"s3:GetObjectTagging",
"s3:PutObjectTagging"]
然而,当点击其中一个对象以查看以前的版本时,打开或下载文件失败;访问被拒绝";显示错误。
我还找到了这个API调用,但它也只要求使用;s3:ListBucketVersions";要设置的权限,情况就是这样。
此外,执行";得到";或";放入";对于以前的版本,而不仅仅是最新版本?
这是我正在使用的策略。您需要对象的GetObject、GetObjectVersion(以及Put操作(和bucket的ListBucket、ListBucketVersion。
- PolicyDocument:
Version: '2012-10-17'
Statement:
- Action:
- s3:GetObject
- s3:GetObjectVersion
Effect: 'Allow'
Resource:
- !Sub ${ResourcesBucket.Arn}/*
- Action:
- s3:ListBucket
- s3:ListBucketVersions
Effect: 'Allow'
Resource:
- !GetAtt ResourcesBucket.Arn