Có chính sách S3 để giới hạn quyền truy cập chỉ xem / truy cập một nhóm không?

Tôi có một thùng đơn giản trông giống như images.mysite.comtrên S3 của tôi và các thùng khác có chứa bản sao lưu, v.v.

Tôi muốn cho phép một người dùng cụ thể có thể truy cập vào images.mysite.comnhóm để tải lên hình ảnh. Tuy nhiên, tôi KHÔNG muốn anh ấy thấy bất kỳ cái xô nào khác; thậm chí không tồn tại

Tôi không thể đưa ra một chính sách làm điều này; mỗi khi tôi thử một cái gì đó hạn chế, nó sẽ chặn danh sách của bất kỳ thùng nào.

Tôi đã thử điều này một thời gian và cuối cùng đã đưa ra một giải pháp hiệu quả. Bạn phải sử dụng các "Tài nguyên" khác nhau tùy thuộc vào loại hành động bạn đang thực hiện. Ngoài ra tôi đã bao gồm một số hành động bị thiếu trong câu trả lời trước (như DeleteObject) và hạn chế một số hành động khác (như PutBucketAcl).

Chính sách IAM sau đây hiện đang hoạt động với tôi:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:GetBucketLocation",
        "s3:ListBucketMultipartUploads"
      ],
      "Resource": "arn:aws:s3:::itnighq",
      "Condition": {}
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:AbortMultipartUpload",
        "s3:DeleteObject",
        "s3:DeleteObjectVersion",
        "s3:GetObject",
        "s3:GetObjectAcl",
        "s3:GetObjectVersion",
        "s3:GetObjectVersionAcl",
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:PutObjectVersionAcl"
      ],
      "Resource": "arn:aws:s3:::itnighq/*",
      "Condition": {}
    },
    {
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*",
      "Condition": {}
    }
  ]
}

Các hành động liên quan đến một cái xô và những thứ liên quan đến các đối tượng phải có arn khác nhau.

Trường hợp sử dụng của chúng tôi: Cung cấp không gian sao lưu cho các máy khách của ứng dụng đám mây của chúng tôi có thể được khách hàng truy cập trực tiếp bằng các công cụ S3 phổ biến. Tất nhiên, không khách hàng nào nên xem những khách hàng khác có gì.

Như cloudberryman đã giải thích, "Bạn có thể liệt kê tất cả các thùng hoặc không.", Vì vậy chúng tôi phải đưa ra một công việc xung quanh. Lý lịch:

Cấp quyền ListAllMyBuckets cho người dùng là cần thiết để bảng điều khiển AWS S3 hoặc S3Fox kết nối mà không có thông báo lỗi. Nhưng ListAllMyBuckets liệt kê tất cả các nhóm, liên quan đến các tài nguyên được gán (thực ra, chỉ arn: ... ::: * hoạt động). Đó là một lỗi nghiêm trọng, nếu bạn hỏi tôi. Btw. từ chối ListBucket cho tất cả các nhóm không ngăn chúng được liệt kê, vì ListBucket cấp quyền liệt kê nội dung của nhóm.

Có 3 khả năng tôi coi là công việc xung quanh. Tôi đã chọn cái cuối cùng.

(1) sử dụng tên nhóm khó hiểu, ví dụ GUID

Ưu điểm: dễ cài đặt

Nhược điểm: khó quản lý, đặc biệt là đối với khách hàng. (hãy tưởng tượng để tìm một GUID cụ thể có hàng ngàn người khác.) Cũng hiển thị số lượng xô = số lượng khách hàng sử dụng dịch vụ sao lưu.

(2) sử dụng một nhóm với các thư mục cụ thể của khách hàng

Đây là cách Amazon gợi ý bằng các ví dụ S3 / IAM của họ để cung cấp không gian để chỉ truy cập bởi một số người dùng hoặc nhóm người dùng nhất định. Xem: Chính sách IAM của AWS

Ưu điểm: khá dễ cài đặt, phù hợp với ý tưởng AWS

Nhược điểm: buộc phải thực hiện sự tồn tại của tất cả các thùng, vì vậy khách hàng có thể tìm thấy thùng "nhà" của họ. Kế toán AWS cung cấp số liệu thống kê về việc sử dụng nhóm, nhưng không sử dụng thư mục, điều này gây khó khăn cho việc tính toán chi phí theo khách hàng.

(3) không cấp quyền truy cập cho List ALLMyBuckets

Ưu điểm: bạn có được những gì bạn muốn: khách hàng không thể thấy các thùng của khách hàng khác

Nhược điểm: khách hàng không thể nhìn thấy thùng của mình. S3Browser đi kèm với một thông báo "không thể làm" đẹp và yêu cầu nhập tên nhóm. S3Fox ném thông báo lỗi khi kết nối với thư mục gốc, nhưng cho phép điều hướng trực tiếp đến nhóm của khách hàng nếu biết tên nhóm. Bảng điều khiển Amazon S3 hoàn toàn không hoạt động.

Hy vọng điều này đã giúp xử lý S3 IAM khi bạn cần.

Không thể cung cấp quyền truy cập vào Bảng điều khiển S3 mà không cấp ListAllMyBucketsquyền.

Trong trường hợp của tôi (và có lẽ là của bạn, người đọc tương lai), một lựa chọn thay thế có thể chấp nhận được là chuyển hướng người dùng đăng nhập trực tiếp vào nhóm bạn muốn họ nhìn thấy.

Để thực hiện điều này, hãy thêm phần sau vào url đăng nhập IAM của bạn: /s3/?bucket=bucket-name

URL đăng nhập đầy đủ (thay thế bí danh và tên nhóm của bạn ):

https://your-alias.signin.aws.amazon.com/console/s3/?bucket=bucket-name

Chính sách IAM (thay thế tên xô ):

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

Để biết thêm thông tin về cách tạo quyền truy cập cụ thể cho người dùng, hãy đọc blog này: http://mikeferrier.com/2011/10/27/granting-access-to-a-single-s3-bucket-USE-amazon-iam /

Hãy thử chính sách này. cũng tính đến việc không có cách nào để cho phép danh sách người dùng chỉ chọn nhóm. Bạn có thể liệt kê tất cả các thùng hoặc không.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:GetObjectAcl",
                "s3:PutObjectAcl",
                "s3:ListBucket",
                "s3:GetBucketAcl",
                "s3:PutBucketAcl",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::your_bucket_here/*",
            "Condition": {}
        },
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "*",
            "Condition": {}
        }
    ]
}

Tôi đang giải thích câu hỏi này là: "Tôi có thể cho phép truy cập vào một nhóm trong đó mọi thùng khác sẽ không thể truy cập được và do đó không thể nhìn thấy." Bởi vì, hiển thị tên của nhóm mà không có quyền truy cập nào được cấp vẫn tương đương với rò rỉ thông tin.

Và câu trả lời đúng là không. Sự cho phép cần thiết là ListAllMyBuckets sẽ cho phép người dùng nhìn thấy TẤT CẢ các thùng. Bỏ quyền này sẽ khiến giao diện điều khiển không thể sử dụng được.

Có một cách tuyệt vời để cho phép người dùng truy cập vào một nhóm cụ thể mà không bao gồm kiến ​​thức về các nhóm khác. Chính sách nhóm giống như chính sách dưới đây sẽ cho phép người dùng chỉ nhìn thấy "xô a". Điều hấp dẫn duy nhất là người dùng sẽ chỉ có thể truy cập vào nhóm nếu họ kết nối với điểm cuối của nhóm đã cho. Đối với ví dụ dưới đây sẽ là xô-a.s3.amazonaws.com. Nhóm cũng có thể phải có "Người dùng xác thực" cho phép điều này xảy ra.

{
    "Statement": [
     {
         "Sid": "<EXAMPLE_SID>",
         "Action": [
           "s3:ListBucket",
           "s3:GetBucketLocation"
          ],
         "Effect": "Allow",
         "Resource": [
           "arn:aws:s3:::bucket-a"
         ]
     },
     {
      "Sid": "<EXAMPLE_SID>",
      "Action": "s3:*",
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::bucket-a/*"
      ]
     }
   ]
}

Phương pháp này đã được thử nghiệm với Cyberduck trên Mac OS / X và sử dụng gói s3cmd

./s3cmd ls s3://bucket-a --access_key=ACCESS_KEY --secret_key=SECRET_KEY --bucket-locat
ion=ap-southeast-2

Bối rối về lý do tại sao không có câu trả lời đã được kiểm tra?

Hãy chia nhỏ từng tuyên bố chính sách từ các giải pháp trên:

Tuyên bố chính sách này từ áp dụng cho các nội dung của xô, nhưng không buck chính nó. Đây có lẽ không phải là những gì câu hỏi yêu cầu, bởi vì bạn không thể thấy những gì trong thùng.

{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:GetObjectAcl",
"s3:PutObjectAcl",
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:PutBucketAcl",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::your_bucket_here/*",
"Condition": {}
}

Chính sách hai câu lệnh này xuất phát từ việc cung cấp quyền truy cập chỉ đọc vào nhóm tại ( arn:aws:s3:::your_bucket_here/) chỉ đọc , nhưng vẫn cho phép CRUD hoạt động trên nội dung của nhóm ( arn:aws:s3:::your_bucket_here/*).

{
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetBucketLocation",
    "s3:ListBucketMultipartUploads"
  ],
  "Resource": "arn:aws:s3:::your_bucket_here",
  "Condition": {}
},
{
  "Effect": "Allow",
  "Action": [
    "s3:AbortMultipartUpload",
    "s3:DeleteObject",
    "s3:DeleteObjectVersion",
    "s3:GetObject",
    "s3:GetObjectAcl",
    "s3:GetObjectVersion",
    "s3:GetObjectVersionAcl",
    "s3:PutObject",
    "s3:PutObjectAcl",
    "s3:PutObjectAclVersion"
  ],
  "Resource": "arn:aws:s3:::your_bucket_here/*",
  "Condition": {}
}

Tuy nhiên, chính sách bao gồm tuyên bố dưới đây, cho phép người dùng nhìn thấy tất cả các nhóm ở điểm cuối. Đây có lẽ không phải là những gì câu hỏi yêu cầu.

{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "*",
"Condition": {}
}

Tuy nhiên, những điều trên rất hữu ích nếu bạn sử dụng máy khách trình duyệt một cửa hàng S3. Nếu khách hàng của bạn truy cập vào cửa hàng và không trực tiếp xô, vì vậy bạn cần truy cập vào danh sách các thùng ở gốc.

Có lẽ trường hợp sử dụng đơn giản nhất:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": ["arn:aws:s3:::bucket-name"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetObject",
        "s3:DeleteObject"
      ],
      "Resource": ["arn:aws:s3:::bucket-name/*"]
    }
  ]
}

Có một cách dễ dàng hoặc cách giải quyết để làm điều này bằng cách sử dụng AWS Organisation. Tổ chức AWS cho phép bạn có nhiều tài khoản người dùng. Tài khoản chính của bạn sẽ có thể có nhiều tài khoản AWS (Sub) và những dịch vụ nào (s3 / EC2 / *) được thêm vào trong bất kỳ tài khoản AWS nào chỉ những tài nguyên đó sẽ hiển thị.

Vui lòng tham khảo https://aws.amazon.com/bloss/aws/aws- tổ chức -policy-basing-man Quản lý-for-mult Môn -aws-accs / https://aws.amazon.com / tổ chức /

Tổ chức trên trang tài khoản của tôi

Tôi tìm thấy giải pháp này:
AWS FLOW:

Chính sách xô:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::MyExampleBucket",
        "arn:aws:s3:::MyExampleBucket/*"
      ],
      "Condition": {
        "StringNotLike": {
          "aws:userId": [
            "AROAEXAMPLEID:*", #Role ID
            "111111111111" #AccountID
          ]
        }
      }
    }
  ]
}

Chính sách của IAM:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::MyExampleBucket",
        "arn:aws:s3:::MyExampleBucket/*"
      ],
      "Condition": {
        "StringNotLike": {
          "aws:userId": [
            "AROAEXAMPLEID:*",  #Role ID
            "AIDAEXAMPLEID",  #UserID
            "111111111111"  #AccountID
          ]
        }
      }
    }
  ]
}

aws iam get-user-Monguser-name USER-NAME --profile = exampleProfile

aws iam get-vai trò - tên tên ROLE-NAME --profile = exampleProfile

Nguồn: https://aws.amazon.com/bloss/security/how-to-restrict-amazon-s3-bucket-access-to-a-specific-iam-role/

PS hãy cẩn thận với chính sách xô, bạn có thể đứng ngoài mà không có quyền

Vì nó đã được thảo luận tốt ở trên, chỉ có thể liệt kê một nhóm trên bảng điều khiển. Nhưng nếu quyền truy cập của nhóm S3 được gắn vào IAM, IAM có thể truy cập trực tiếp vào nhóm nếu có sẵn URL. Url xô S3 sẽ như sau:

https://s3.console.aws.amazon.com/s3/buckets/BucketName

Trong đó BuckName là tên của nhóm IAM có quyền truy cập vào

Tôi quản lý để có được làm việc sau đây. Đồng nghĩa với việc liệt kê các nhóm khác nhận được thông báo Từ chối truy cập. Nhưng vẫn có thể thấy cái xô mà tôi muốn nếu tôi kết nối với tên nhóm được đặt làm đường dẫn.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets"
      ],
      "Resource": "arn:aws:s3:::test"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": ["arn:aws:s3:::test"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetObject",
        "s3:DeleteObject"
      ],
      "Resource": ["arn:aws:s3:::test/*"]
    }
  ]
}

Tôi đã sử dụng Cyberduck để kiểm tra kết nối này.

Mặc dù không thể hạn chế s3:ListAllMyBucketshành động đối với các nhóm cụ thể, nhưng để giải quyết, bạn có thể gửi URL Bảng điều khiển cho nhóm cụ thể, ví dụ:

• https://s3.console.aws.amazon.com/s3/buckets/BUCKET_NAME/

^{Nguồn: Hạn chế danh sách các thùng S3 từ Bảng điều khiển S3}

Để làm điều đó, bạn sẽ cần chỉ định tài liệu chính sách sau cho người dùng hoặc nhóm cụ thể:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket-1",
                "arn:aws:s3:::my-bucket-2"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:GetObjectVersionAcl",
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:PutObjectVersionAcl"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket-1/*",
                "arn:aws:s3:::my-bucket-2/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": "arn:aws:s3:::*"
        }
    ]
}

^{Các thùng của bạn ở đâu my-bucket-1và my-bucket-2cho phép truy cập đọc và viết.}

Liên quan:

• Viết chính sách IAM: Cách cấp quyền truy cập vào nhóm Amazon S3
• Danh sách hạn chế các nhóm cho một người dùng cụ thể
• Làm cách nào để cung cấp cho người dùng chỉ truy cập một nhóm cụ thể trong AWS S3?
• Chỉ định tài nguyên trong Chính sách & Quyền liên quan đến hoạt động của nhóm

Hãy thử chính sách này. Người dùng không thể liệt kê bất kỳ nhóm nào, họ phải sử dụng liên kết trực tiếp đến nhóm được phép.

Ví dụ: s3.console.aws.amazon.com/s3/buckets/bucketname/?region=us-east-1&tab=overview

{
  "Statement": [
    {
      "Action": [
        "s3:ListBucket"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::bucketname"
      ]
    },
    {
      "Action": [
        "s3:PutObject",
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::bucketname*"
      ]
    },

  ],
  "Version": "2012-10-17"
}

Tương tự như những gì người khác mô tả ở trên:

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:ListBucket"
         ],
         "Resource":"arn:aws:s3:::awsexamplebucket"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject"
         ],
         "Resource":"arn:aws:s3:::awsexamplebucket/*"
      }
   ]
}

Tuy nhiên, đây là phần còn thiếu. Mặc dù không thể truy cập nhóm qua S3-> Trang chủ, nhưng chỉ có thể truy cập nhóm mong muốn thông qua liên kết trực tiếp.

https://s3.console.aws.amazon.com/s3/buckets/yourawsbucket/

Bạn có thể tìm thêm thông tin trong bài sau:

https://aws.amazon.com/premiumsupport/ledgeledge-center/s3-console-access-certain-bucket/

Các giải pháp dưới đây làm việc cho tôi. Tôi muốn có một chính sách cấp quyền truy cập cho một người dùng cụ thể my_iam_user trên một nhóm cụ thể my-s3-xô .

Chính sách này cho phép người dùng của tôi liệt kê, xóa, nhận e đặt các tệp vào một nhóm s3 cụ thể.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListBucket",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/my_iam_user"
            },
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::my-s3-bucket"
        },
        {
            "Sid": "AddDeleteFiles",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/my_iam_user"
            },
            "Action": [
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::my-s3-bucket/*"
        }
    ]
}

Tôi chỉ cần thêm một nhu cầu tương tự, được giải quyết bằng cách này:

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:Get*",
            "s3:Put*",
            "s3:DeleteObject",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::my-bucket-name",
            "arn:aws:s3:::my-bucket-name/*"
        ]
    }
  ]
}

Tôi sử dụng những thứ sau đây để ẩn nội dung của xô khỏi những người dùng khác. Điều này không chỉ giúp ẩn các nhóm khác (không sử dụng ListAllMyBuckets), mà cả các thư mục trong cùng một nhóm, khi bạn tạo một nhóm, nhưng muốn có các thư mục con trong đó gán quyền thích hợp cho Người dùng / thư mục con IAM.

Chính sách sau đây được áp dụng cho IAM Group và tất cả người dùng đều thuộc Nhóm này. Bạn cần lấy aws:useridvà tạo một thư mục con có cùng tên trong nhóm.

Có thể lấy ID người dùng: aws iam get-user --user-name "user_name_for_folder_access":

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:*"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name/${aws:userid}/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name"
            ]
        }
    ]
}

Một giải pháp đơn giản mà chúng tôi đã đưa ra là chặn người dùng đăng nhập vào thư mục gốc. Vì vậy, họ phải đăng nhập với đường dẫn từ xa được đặt vào thư mục mong muốn.

 {
"Statement": [
    {
        "Effect": "Allow",
        "Action": "s3:*",
        "Resource": "arn:aws:s3:::folder-name*",
        "Condition": {}
    }
]
}

Không, hiện tại không thể giới hạn người dùng xem các nhóm chọn lọc dưới quyền root hoặc bất kỳ nơi nào khác. Bạn chỉ có 3 lựa chọn ngay bây giờ.

Tôi đã chọn yêu cầu khách hàng sử dụng tên xô một cách rõ ràng.

Đây là chi tiết của Amazon trên http://bloss.aws.amazon.com/security/post/Tx3VRSWZ6B3SHAV/Writing-IAM-Polaho-How-to-grant-access-to-an-Amazon-S3-bucket

Điều này làm việc hoàn hảo cho tôi. Người dùng có thể tải lên, Tải xuống và nhận danh sách các tệp nhưng sẽ không thể xem các tệp từ nhóm khác.

 {    

"Statement": [    

{
    "Effect": "Allow",
    "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:GetObjectAcl",
        "s3:PutObjectAcl",
        "s3:ListBucket",
        "s3:GetBucketAcl",
        "s3:PutBucketAcl",
        "s3:GetBucketLocation"
    ],
    "Resource": "arn:aws:s3:::mybucketname/*",
    "Condition": {}
},
{
    "Effect": "Allow",
    "Action": "s3:ListAllMyBuckets",
    "Resource": "*",
    "Condition": {}
},
{
    "Effect": "Deny",
    "Action": [
        "s3:DeleteBucket",
        "s3:DeleteBucketPolicy",
        "s3:DeleteBucketWebsite",
        "s3:DeleteObject",
        "s3:DeleteObjectVersion"
    ],
    "Resource": "arn:aws:s3:::mybucketname/*",    

    "Condition": {}    

}
]
}      

Thêm một Denymệnh đề cho (các) nhóm bạn không muốn truy cập. Hãy nhớ rằng chúng vẫn có thể được liệt kê, nhưng bạn sẽ không thể truy cập nội dung bên trong chúng.

{
    "Phiên bản": "2012-10-17",
    "Tuyên bố": [
        {
            "Hiệu ứng": "Cho phép",
            "Hành động": "s3: *",
            "Nguồn": "*"
        },
        {
            "Hiệu ứng": "Từ chối",
            "Hành động": "s3: *",
            "Nguồn": [
                "arn: aws: s3 ::: tên xô",
                "arn: aws: s3 ::: tên xô / *"
            ]
        }
    ]
}