使用 AWS S3 公共訪問在公司之間共享數據

Question

我想從另一個組織獲取大量數據到我的組織。 我創建了一個 s3 存儲桶，名稱為：srikanth-poc-can-be-deleted。 訪問列下的此存儲桶顯示為“公共”。 我所有其他的桶都顯示為“桶和對象不公開”。 （即我禁用了“阻止公共訪問”下的“阻止所有公共訪問”選項）。 我還制定了以下政策。 並在存儲桶策略下定義。

問題：在存儲桶下，我有一個文件夾：'upload_here'，我得到這個文件夾 URL 這樣任何人都可以上傳這個文件夾下的文件。 但是，它沒有按預期工作。 當我在瀏覽器中輸入文件夾 URL 時，正在下載一個具有該文件夾名稱的空文件，但沒有任何反應。 我期待它打開文件夾，以便其他人可以將他們的文件放在那里。 你能告訴我問題是什么嗎？

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::srikanth-poc-can-be-deleted/*"
        },
        {
            "Sid": "Statement2",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::srikanth-poc-can-be-deleted"
        }
    ]
}

Answer 1

如果您想在 AWS 賬戶之間復制 Amazon S3 中的數據，您應該使用以下方法之一。 他們將確保您的存儲桶和數據始終保密。

使用源憑據

如果您使用來自源帳戶的憑據：

• 授予IAM 用戶從源存儲桶讀取和寫入目標存儲桶的權限
• 在其他賬戶中的目標存儲桶上添加一個存儲桶策略，以從源賬戶向 IAM 用戶授予訪問權限（類似於您上面的策略，但將源 IAM 用戶指定為委托人）
• 在目標存儲桶中，確保禁用 ACL，以便目標賬戶“擁有”對象
• 使用 AWS CLI 復制對象，使用 IAM 用戶憑證

使用目標憑據

如果您使用的是來自目標帳戶的憑據：

• 授予IAM 用戶從源存儲桶讀取和寫入目標存儲桶的權限
• 在源存儲桶上添加存儲桶策略，從目標賬戶授予 IAM 用戶訪問權限（類似於您上面的策略，但將目標 IAM 用戶指定為委托人）
• 使用 AWS CLI 復制對象，使用 IAM 用戶憑證