AWS-IAM: Предоставление доступа к одноковшовым

Question

Я создал группу, и я добавил новый пользователь в эту группу, то я создал следующую IAM политики:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Action": "s3:ListAllMyBuckets", 
     "Resource": "arn:aws:s3:::*" 
    }, 
    { 
     "Effect": "Allow", 
     "Action": [ 
     "s3:ListBucket", 
     "s3:GetBucketLocation" 
     ], 
     "Resource": "arn:aws:s3:::EXAMPLE-BUCKET-NAME" 
    }, 
    { 
     "Effect": "Allow", 
     "Action": [ 
     "s3:PutObject", 
     "s3:GetObject", 
     "s3:DeleteObject" 
     ], 
     "Resource": "arn:aws:s3:::EXAMPLE-BUCKET-NAME/*" 
    } 
    ] 
}

я получил вышеуказанную политику от:

http://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_examples.html

в принципе, я хочу дать разрешение только для одного конкретного ведра, но выше политика не работает. Пользователь по-прежнему может добавлять, удалять, изменять файлы из других ковшей.

Спасибо!

Answer 1

Эта политика определенно должна работать - пользователь может добавлять или удалять/изменять ведро EXAMPLE-BUCKET-NAME.

Дважды проверьте свою группу и пользователя, убедитесь, что к ней не добавлены другие управляемые или встроенные политики.