У меня есть следующая конфигурация пользователя:
namespace: s3test
user: s3test
subuser: backup (set up with s3 credentials instead of swift)
Я хочу определить политику ведра, которая явно запрещает пользователю резервного копирования помещать в ведро с именем hedgehogs
, которое было создано пользователем s3test
:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyPutToHedgehogsForBackup",
"Effect": "Deny",
"Principal": {
"CanonicalUser": "s3test:backup"
},
"Action": ["s3:PutObject"],
"Resource": [
"arn:aws:s3:::hedgehogs/*"
]
}
]
}
Однако это, похоже, не позволяет s3test
и s3test:backup
помещать в hedgehogs
.
Что-то не так с синтаксисом моей политики или это означает, что подпользователи, настроенные с учетными данными s3, — это просто еще один способ доступа к s3 с разрешениями основного пользователя?