Activation de l'accès des utilisateurs AWS IAM aux baquets/objets partagés

Question

Est-il possible d'exposer le compartiment de compte Amazon S3 (partagé par les paramètres ACL) à la configuration des utilisateurs à l'aide de la nouvelle API Amazon AIM sous un autre compte?

Je suis capable de créer une stratégie IAM fonctionnelle lorsqu'elle est associée aux utilisateurs et aux objets appartenant à un même compte. Mais il semble que cela ne fonctionne plus lorsque deux comptes différents sont impliqués - malgré le fait que le compte 2 puisse accéder directement au compte du compte 1.

politique de l'échantillon est:

 
{ 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Action": [ 
     "s3:*" 
     ], 
     "Resource": [ 
     "arn:aws:s3:::test1234.doom", 
     "arn:aws:s3:::test.doom" 
     ], 
     "Condition": {} 
    } 
    ] 
} 

Dans ce cas, l'utilisateur AIM est en mesure de la liste seau test.doom (appartenant au même compte AWS) et non seau de « test1234.doom » (appartenant à différents AWS Compte). Ceci est en dépit d'un compte ayant des autorisations ACL correctes pour accéder à l'autre compartiment.

Answer 1

Il semble que cela ne soit pas possible.

http://aws.amazon.com/iam/faqs/#Will_users_be_able_to_access_data_controlled_by_AWS_Accounts_other_than_the_account_under_which_they_are_defined

Bien qu'il ressemble à l'avenir, ils pourraient être autorisés à créer des données sous un autre compte.

http://aws.amazon.com/iam/faqs/#Will_users_be_able_to_create_data_under_AWS_Accounts_other_than_the_account_under_which_they_are_defined