S3: l'Utilisateur ne peut pas accéder à l'objet dans son propre compartiment s3 si elle est créée par un autre utilisateur
Un utilisateur a accès à notre compartiment s3, à l'aide de ces actions dans notre seau politique:
"Action": [
"s3:GetObjectAcl",
"s3:GetObject",
"s3:PutObjectAcl",
"s3:ListMultipartUploadParts",
"s3:PutObject"
]
Que généré par l'utilisateur temporaire des informations d'identification, qui ont ensuite été utilisé pour télécharger un fichier dans notre seau.
Maintenant, je ne peut pas accéder au fichier. Dans le s3 de l'INTERFACE utilisateur, si j'essaie de télécharger le fichier, je reçois un 403. Si je tente de modifier les autorisations sur l'objet, je vois le message : "Désolé! Vous n'avez pas les autorisations pour afficher ce seau." Si l'utilisateur externe définit l'en-tête approprié (x-amz-acl seau-propriétaire-contrôle total) lors du téléchargement du fichier avec les informations d'identification temporaires, je peux accéder au fichier normalement. Il me semble étrange que, même si je possède le seau, il est possible pour l'utilisateur externe pour mettre des fichiers en il que je suis incapable d'accès.
Est-il possible qu'il y est une politique que je peux, donc je peut accéder au fichier, ou alors que je suis en mesure d'accéder tout fichier est ajouté à mon seau, indépendamment de comment il est ajouté? Merci!
Vous devez vous connecter pour publier un commentaire.
Je crois que vous avez pour obtenir le propriétaire de l'objet à mettre à jour la liste ACL ou de ré-écrire l'objet en spécifiant propriétaire du compartiment contrôle total. La façon la plus simple d'expérimenter avec des c'est à l'aide de la CLI:
Ouais, je pense que vous avez à faire qu'une fois pour chaque objet, je ne pense pas qu'il y est une option récursif.
AWS publie un exemple seau politique à empêcher ajout d'objets dans le seau sans donner au propriétaire du compartiment contrôle total. Mais ce ne sera pas l'adresse de la propriété des objets déjà dans votre seau.
Je ne sais pas du tout de la politique qui sera automatiquement transférer la propriété du propriétaire du compartiment.
bucket-owner-full-control
sur les téléchargements avec le seau de la politique, puis le que action à la disposition du propriétaire du compartiment est de supprimer l'objet. Tout le reste nécessite une autorisation accordée par le propriétaire de l'objet.cp
oumv
commande l'utilisateur a besoin d'une autorisation pourPutObjectAcl
de l'action ainsi, cette connaissance me sauver d'une heure 😉vous pouvez réellement utiliser une copie récursive option pour copier tous les objets de retour au seau et à l'ensemble de l'acl seau-propriétaire-le plein contrôle à l'aide de la syntaxe suivante: