问带云表单的非封装ACL S3存储桶

EN

对于Amazon S3的初始和各自受限的Access Control Lists (ACL)，这是不可能的，其中只有预定义的Canned ACLs可以与AWS CloudFormation支持的AWS resource types一起使用，请参阅AWS::S3::Bucket资源的属性AccessControl：

对存储桶授予预定义权限的屏蔽访问控制。默认值为Private。有关封装ACL的详细信息，请参阅Canned ACLs in the Amazon S3 documentation。

AccessControl的有效值: AuthenticatedRead | AwsExecRead | BucketOwnerRead | BucketOwnerFullControl | LogDeliveryWrite |AccessControl| PublicRead | PublicReadWrite

假设您实际上不想将put/delete权限授予所有 S3用户(这让不知情的S3开发人员感到惊讶的是，Authenticated users组实际上暗示了这一点)，而是像大多数用例一样只向您自己(或一组众所周知的)帐户的用户授予put/delete权限，那么您可以通过使用S3 Bucket Policies来实现您的目标。

Example Cases for Amazon S3 Bucket Policies提供了一个示例策略，用于向具有附加限制的多个帐户授予权限，该策略向多个帐户授予PutObject和PutObjectAcl权限，并要求包括公共读取的封装acl -将其剥离到请求的集合并将其转换为CloudFormation模板片段将产生以下大致结果(当然，您需要调整帐户的主体)：

"Resources" : {
  "S3Bucket" : {
    "Type" : "AWS::S3::Bucket"
  },
  "BucketPolicy" : {
    "Type" : "AWS::S3::BucketPolicy",
    "Properties" : {
      "PolicyDocument": {
        "Id"           : "Grant access to all account users",
        "Statement"    : [{
          "Sid"        : "PutObjectAccess",
          "Action"     : ["s3:PutObject"],
          "Effect"     : "Allow",
          "Resource"   : { "Fn::Join" : ["", ["arn:aws:s3:::", {"Ref" : "S3Bucket"} ]]},
          "Principal"  : { "AWS": ["arn:aws:iam::111122223333:root","arn:aws:iam::444455556666:root"] }
        }]
      },
      "Bucket" : {"Ref" : "S3Bucket"}
    }
  },
},

请注意Using ACLs and Bucket Policies Together的特性，以防万一。