如何让用户将文件上传到S3存储桶，而不覆盖或删除文件？

我为用户提供以下IAM策略

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1395161912000",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:PutObject",
        "s3:*"
      ],
      "Resource": [
        "arn:aws:s3:::bucketname"
      ]
    },
    {
      "Sid": "list",
      "Effect": "Allow",
      "Action": [
        "s3:ListAllMyBuckets"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ]
    }
  ]
}

目的是让用户将文件上传到存储桶，但不能覆盖或删除。用于备份。我从ListBucket和开始PutObject，但是添加了，*因为它不起作用。甚至*不让用户上传文件，仅获得Access Denied。

当我尝试模拟器，它返回Denied - Implicitly denied (no matching statements found).了ListBucket，因为我已经含蓄地允许这似乎很奇怪。

我已经尝试将Cyber​​duck和3Hub作为S3客户端。

知道有什么问题吗？

在为Amazon S3制定Amazon IAM策略时，您需要了解服务上的操作（例如ListAllMyBuckets），桶上的操作（例如ListBucket）和对象上的操作（例如GetObject）之间的区别。

特别是，Resource您的策略规范需要根据以下模式来解决适当的目标实体（例如，请参阅各种Amazon S3示例策略）：

• 服务运营- arn:aws:s3:::*
• 铲斗操作- arn:aws:s3:::<bucket>
• 对象操作- arn:aws:s3:::<bucket>/<object>

解

您遇到了Access Denied，因为您已经为指定了存储桶级资源PutObject，因此需要像arn:aws:s3:::<bucket>/*- 这样的对象级资源规范，因此以下策略应涵盖您的示例用例：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:ListAllMyBuckets"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::bucketname"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketname/*"
      ]
    }
  ]
}