Уведомление о перекрестном счете S3 из любого ведра, принадлежащего учетной записи

Question

Уведомление о перекрестном счете S3 из любого ведра, принадлежащего учетной записи

Я предоставляю услуги кросс-аккаунта своему клиенту, у которого есть собственный аккаунт AWS. Я хотел бы, чтобы они могли настроить любое S3 ведро, которым они владеют, так что любой ObjectCreated Событие заносится в мою очередь SQS. Я также хотел бы запретить другим сторонам писать в мою очередь или настраивать их группы для записи уведомлений об объектах в мою очередь.

Пока у меня есть этот разрешительный документ. (Мой аккаунт: 222222222222, accountId моего клиента: 111111111111)

{
  "Sid": "CrossAccountWrite",
  "Effect": "Allow",
  "Principal": {
    "Service": "s3.amazonaws.com"
  },
  "Action": "SQS:SendMessage",
  "Resource": "arn:aws:sqs:us-west-2:222222222222:customer-s3-notifications",
  "Condition": {
    "ArnLike": {
      "aws:SourceArn": "arn:aws:s3:*:*:customer-s3-bucket"
    }
  }
}

Это позволяет одному из их сегментов писать в мою очередь; однако я хотел бы разрешить любому из их сегментов писать в мою очередь. Обычно я просто подстановочный знак на ARN, который начинается с их учетной записи клиента; однако, по какой-либо причине, у блоков S3 нет региона, и в них нет accountId. Есть ли способ для меня, чтобы сделать эту фильтрацию на уровне разрешений?

1

amazon-web-services amazon-s3 amazon-policy

Источник

user425722 16 окт '18 в 23:54

0 ответов

Другие вопросы по тегам amazon-web-services amazon-s3 amazon-policy