0
我有一个使用Amazon S3创建的静态网站。我已经设置的唯一权限是通过亚马逊教程中提供的水桶政策:Amazon S3访问控制 - 谁可以上传文件?
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "Allow Public Access to All Objects",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::example.com/*"
}
]
}
显然,这一政策使公众能够查看存储在我的水桶,这是我想要的任何文件。我的问题是,这项政策是否足以阻止其他人上传文件和/或劫持我的网站?我希望公众能够访问存储桶上的任何文件,但我想成为唯一拥有列表,上传和删除权限的文件。这是我的存储桶的当前行为,因为我的存储桶策略只处理查看权限?