以下是我使用生成的策略 json:
{
"Id": "Policy1564102281945",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "S1001",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::<>/*",
"Principal": {
**"AWS": [
"arn:aws:iam::<>:root"
]**
}
}
]
}
但是,当我使用适用于 C# 的 AWS 开发工具包并调用以下 API 时
client.GetBucketPolicy(bucketName)
我得到以下 Json 响应。
{
"Version": "2012-10-17",
"Id": "Policy1564102281945",
"Statement": [{
"Sid": "S1001",
"Effect": "Allow",
"Principal": {
**"AWS": "arn:aws:iam::185160002363:root"**
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::mcafee-mvision-epo-dev-girish-cda/*"
}
]
}
请注意,"AWS"对象中的 JSON 架构。在S3"存储桶策略"中,点击"AWS"实际上是一个数组。但在 API 响应中,它作为对象嵌入在"主体"中。
仅当列表中添加一个 ARN 时,才会发生这种情况。如果至少有 2 个元素,则 API 使用"AWS"对象的数组进行响应。
这种不一致的原因是什么?当使用任何库转换为 JSON 时,客户端是否应该使用对象类型检查来处理此问题?
这不是Principal独有的。每当您尝试创建策略中只有一个项目的数组时,都会发生同样的事情。查看策略中的Action。
您已定义:
"Action": [
"s3:GetObject"
],
但结果是
"Action": "s3:GetObject"
当您提交放置策略请求时,这会在 AWS 端内部发生,每个具有一个值的数组将仅替换为该值。至于为什么,我猜AWS希望最小化策略的大小。
至于控制台视图与您看到的内容之间的不一致,没有,您需要做的就是刷新选项卡以查看新格式化的策略。这只是因为您正在提交未格式化的策略,并且您的选项卡不会使用实际存储在 AWS 后端的值自动刷新。
是的,如果您通过 CLI/SDK 获取策略并将其转换为 JSON,那么您需要了解这一点并相应地处理它。