我有一个 Amazon S3 存储桶,其中包含业务敏感文档和图像。我希望能够向根 AWS 用户和我创建的另一个用户授予所有操作和权限。但是,我想限制其他任何人的所有访问权限,包括匿名用户获取对象。
我可以使用所创建用户的访问密钥在存储桶中创建对象,但似乎任何人都可以查看这些对象。例如,从隐身浏览器会话向图像对象发出的 GET 请求将获得 200 而不是预期的 403。
以下是我正在使用的存储桶策略,其中敏感细节已更改。
{
"Version": "2016-10-17",
"Id": "Policy1487090751111",
"Statement": [
{
"Sid": "Stmt1487090741111",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789876:root",
"arn:aws:iam::123456789876:user/my_user"
]
},
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::my_bucket",
"arn:aws:s3:::my_bucket/*"
]
}
]
}