我的服务器向客户发出以下策略,因此他们可以在存储桶中列出其主目录的内容:
s3://abcd/public/USERNAME
从客户端我使用AWS api和策略来列出存储桶。
一切正常,但是,当用户名包含字符@时,我得到一个FORBIDDEN响应。
s3://abcd/public/@makeihan
我怀疑它干扰了那些亚马逊ARN的东西,但显然@是一个有效且受支持的字符在键中(也尝试从控制台创建对象,它工作正常),我想知道我是否可以逃脱它在任何地方策略,还是不支持此char?
提前致谢。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::abcd"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"public/@makeihan/*",
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::abcd/public/@makeihan",
"arn:aws:s3:::abcd/public/@makeihan/*"
]
}
]
}
我需要两件事来解决这个问题,其中包括我正在使用的SDK中的一个错误:
1)在encoding="url"请求中指定listObjects。未指定时,SDK将转义密钥。提供“url”时,SDK使用原始密钥。 - 顺便说一句 - 这听起来与我相反
ListObjectsRequest listObjectsRequest = new ListObjectsRequest()
.withBucketName(S3_BUCKET)
.withDelimiter(DEFAULT_DELIMITER)
.withEncodingType("url") // THIS DOES THE MAGIC
.withPrefix(prefix);
2)更新AWS开发工具包。较老的sdks有一个关于这个的错误,所以其他方法,如PutObject,GetObject等,再次重新编码键。