イニシアチブ

アカウントAは、cross-access-bucketという名前のbucketを作成します.
アカウントBにはaccess-testというユーザがいる.access-testユーザは、アカウントAのcross-access-bucketにアクセスして、ファイルのアップロード、パケット内のオブジェクトの表示、および削除を行う.ユーザーのニーズを満たすにはどうすればいいですか?

1.勘定科目Bのユーザーポリシーの変更

アカウントBに作成されたユーザaccess-testのポリシーを変更または追加します.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::cross-access-bucket"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": "arn:aws:s3:::cross-access-bucket/*"
        }
    ]
}

2.勘定科目A bucketポリシーの変更

アカウントAで作成したcross-access-bucketポリシーを変更します.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::000000000000:user/access-test"
            },
            "Action": [
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:ListBucket",
                "s3:DeleteObject"
            ],
            "Resource": [
              	"arn:aws:s3:::cross-access-bucket",
                "arn:aws:s3:::cross-access-bucket/*"
            ]
        }
    ]
}

Principalでは、0000000000の部分は、口座Bの口座ID番号12ビットを入力する.

3.ACLユーザーの追加

アカウントAのcross-access-bucketで、「アクセス権」タブでアクセス制御リスト(ACL)を変更します.
Access for他のAWS AccountsセクションのAdd Granteeを使用して、新しいユーザーを追加します.

この部分に口座Bの通常IDを記入し、ObjectsとBucketACLのすべての権限を付与すればよい.

Canonicial IDの検索:

コンソールからアカウントBにログインし、S 3に接続する.
S 3任意に1つのbucketを作成し、そのbucketのPermission(権限)ラベルに入る.下部にACL部分を見ると、BucketOwnerという共通IDがあり、それをコピーして上のアカウントAに貼り付けるだけです!

リファレンス

https://aws.amazon.com/ko/premiumsupport/knowledge-center/cross-account-access-s3/