amazon-web-services - AWS - 为无服务器创建策略,但不授予查看其他存储桶文件的权限
问题描述
我正在编写一个使用无服务器部署我的应用程序的策略。一切正常,直到有要求禁止使用此策略查看另一个存储桶中的文件。
目前,这是我的策略,我只授予用户查看特定存储桶中文件的权限。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"cloudformation:ListStacks",
"cloudformation:UpdateStackInstances",
"cloudformation:DescribeStackInstance",
"cloudformation:ListStackInstances",
"cloudformation:DescribeStackResources",
"s3:CreateBucket",
"s3:ListBucket",
"s3:PutObject",
"cloudformation:DescribeStackResource",
"cloudformation:UpdateStackSet",
"cloudfront:CreateInvalidation",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStacks",
"apigateway:DELETE",
"cloudformation:DescribeStackEvents",
"cloudformation:CreateStack",
"cloudformation:UpdateStack",
"apigateway:POST",
"cloudformation:ValidateTemplate",
"cloudformation:ListStackResources"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"lambda:UpdateFunctionCode",
"lambda:ListVersionsByFunction",
"lambda:ListAliases",
"lambda:DeleteFunction",
"lambda:PublishVersion",
"s3:GetObject"
],
"Resource": [
"arn:aws:lambda:ap-northeast-1:xxxxxxx:function:noe-denki-api-test1",
"arn:aws:lambda:ap-northeast-1:xxxxxxx:function:noe-denki-api-test2",
"arn:aws:s3:::s3-front-app/*"
]
}
]
}
当我跑步时。出现这样的错误:
如果我将 S3:GetObject 的资源更改为* ,它工作正常。但是现在用户可以查看其他存储桶中的文件.. 我应该怎么做才能做到这一点?
解决方案
推荐阅读
- javascript - 卸载的组件仍然首先渲染
- python - 如何从 Python 中此对象返回的字典中访问特定值
- nearprotocol - 使用 NEAR Lib 生成密钥对
- javascript - 通过 Chrome 使用 pdf 文档的窗口事件
- java - 尝试为 android 实现 google 登录时出现错误代码 12500
- javascript - 制作 GUI 时如何将 Go 脚本与 Gotron 前端连接?
- java - 在 JWT 用户映射期间创建 Gentics Mesh 用户配置文件节点 - 导致失败
- javascript - 为什么 .data="[filepath]" 在 Internet Explorer 中不起作用?
- docker - 如何设置 influx docker 容器监听特定端口地址上的 collectd?
- python - (如何)Scipy 可以有效地将函数与数组值参数集成(没有循环)?