我们正在与一位客户合作,该客户创建了一个外部ID,用于对其存储桶进行写访问。虽然我可以通过扮演这个角色来写这个bucket,但我目前的问题是,我需要将访问这个我们的bucket的权限授予这个外部ID(我们的bucket是源,他们的bucket就是目的地(,但我无法简单地授予访问这个外部角色的权限。我是不是错过了什么?
赋予该角色对我们的bucket(在账户A中(的读取访问权限。这可能吗?
是的,通常是这样。您必须在bucket的bucket策略中添加该角色作为主体。类似于以下内容:
{
"Version": "2012-10-17",
"Id": "SomeNewId",
"Statement": [
{
"Sid": "ReadOnlyAccessForARole",
"Effect": "Allow",
"Principal": {"AWS": "<ROLE-ARN>"},
"Action": "s3:Get*",
"Resource": [
"arn:aws:s3:::<DOC-EXAMPLE-BUCKET>/*"
]
}
]
}
根据您的具体用例,您可以或多或少地对其进行限制。