दिलचस्प पोस्ट
जावास्क्रिप्ट में 1..20 से पूर्णांकों की एक सरणी बनाने के लिए सबसे तेज़ तरीका पायथन एरे कैसे बड़ा हो सकता है? डबल प्रस्तुत करने का मुद्दा सुलझाना आईओएस 7 – स्थिति बार दृश्य को ओवरलैप करता है जावा स्ट्रिंग.split () कभी-कभी रिक्त तार दे रही है मोबाइल डिवाइस का पता लगाने के लिए उपयोगकर्ता एगेंट का उपयोग कैसे करें सी ++ 11 के पीओडी "मानक लेआउट" की परिभाषा किस तरह से है? java: (स्ट्रिंग ) List.toArray () ClassCastException प्रदान करता है क्या यह ब्राउज़र में सैंडबॉक्स जावास्क्रिप्ट चल रहा है? चहचहाना बूटस्ट्रैप – कैसे क्षैतिज या ऊर्ध्वाधर केंद्र तत्वों के लिए गिवाइस ने इंजेक्शन की सहायता से निर्भरता पदानुक्रम को गहरा दिया MVVM: एक दृश्य मॉडल के लिए रेडियो बटन बाध्यकारी है? OpenMDAO 1.x में नेस्टेड समस्याओं का उपयोग कैसे करें? पुराने Google Play सेवाओं को कैसे डाउनलोड करें? मैं एक तत्व के एक तरफ एक बॉक्स-छाया कैसे जोड़ सकता हूं?

क्या केवल एक बाल्टी को देखने / पहुंचने तक सीमित करने के लिए कोई एस 3 नीति है?

मेरे पास एक साधारण बाल्टी है जो images.mysite.com की तरह दिखती है। images.mysite.com मेरे एस 3 और बैकअप युक्त अन्य बाल्टी आदि।

मैं छवियों को अपलोड करने के लिए एक विशिष्ट उपयोगकर्ता को images.mysite.com बाल्टी तक पहुंचने में सक्षम होना चाहता हूं। हालांकि, मैं नहीं चाहता कि उसे किसी भी अन्य बाल्टी देखने के लिए; वे भी मौजूद नहीं हैं

मैं ऐसा नीति नहीं बना सकता जो यह करता है; हर बार मैं कुछ प्रतिबंधात्मक कोशिश करता हूं, यह किसी भी बाल्टी की सूची को अवरुद्ध करता है

Solutions Collecting From Web of "क्या केवल एक बाल्टी को देखने / पहुंचने तक सीमित करने के लिए कोई एस 3 नीति है?"

मैं थोड़ी देर के लिए यह कोशिश कर रहा था और अंत में एक काम के समाधान के साथ आया था। आप किस तरह की कार्रवाई कर रहे हैं इसके आधार पर आपको अलग-अलग "संसाधन" का उपयोग करना चाहिए इसके अलावा मैंने पिछली उत्तर में कुछ DeleteObject कार्रवाइयां शामिल की हैं (जैसे कि DeleteObject ) और कुछ और (जैसे PutBucketAcl DeleteObject ) को सीमित करना।

निम्नलिखित आईएएम नीति मेरे लिए अब काम कर रही है:

 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::itnighq", "Condition": {} }, { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:GetObjectVersionAcl", "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectVersionAcl" ], "Resource": "arn:aws:s3:::itnighq/*", "Condition": {} }, { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "*", "Condition": {} } ] } 

एक बाल्टी के बारे में और उन वस्तुओं के बारे में कार्य करने के लिए अलग-अलग आर्न होना चाहिए।

हमारे इस्तेमाल के मामले: हमारे क्लाउड एप्लिकेशन के ग्राहकों के लिए बैकअप स्थान प्रदान करें जो क्लाइंट द्वारा सामान्य एस 3 टूल्स का सीधे उपयोग कर सकते हैं। बेशक, कोई भी ग्राहक नहीं देखना चाहिए कि अन्य क्लाइंट क्या हैं।

क्लाउडबेरमेन ने समझाया, "आप या तो सभी बाल्टी या कोई भी सूचीबद्ध कर सकते हैं।", इसलिए हमें चारों ओर एक काम के साथ आना होगा। पृष्ठभूमि:

अनुदान सूची AllMyBuckets उपयोगकर्ता के लिए अधिकार की आवश्यकता है ताकि AWS S3 कंसोल या S3Fox एक त्रुटि संदेश के बिना कनेक्ट हो। लेकिन ListAllMyBuckets सभी बाल्टी सूचीबद्ध करता है, नियुक्त संसाधनों के संबंध (वास्तव में, केवल arn: … ::: * काम करता है)। यह एक गंभीर बग है, अगर आप मुझसे पूछें Btw। सभी बाल्टी के लिए लिस्ट-बकेट को इनकार करने से उन्हें सूचीबद्ध होने से नहीं रोका जाता है, क्योंकि लिस्टबकेट बाल्टी की सामग्री की सूची के लिए अनुदान का अधिकार देता है।

तीन संभावनाएं हैं जिन्हें मैं काम के रूप में माना जाता था। मैंने पिछले एक को चुना

(1) गुप्त बकेट नामों का उपयोग करें, जैसे GUIDs

लाभ: स्थापित करने में आसान

नुकसान: विशेष रूप से ग्राहक के लिए प्रबंधन करना मुश्किल है (कल्पना करें कि एक विशिष्ट GUID दूसरे हजारों में उपलब्ध हो।) इसके अलावा बाल्टी की संख्या का पता चलता है = बैकअप सेवा का उपयोग करते हुए ग्राहकों की संख्या।

(2) क्लाइंट विशिष्ट फ़ोल्डर के साथ एक बाल्टी का उपयोग करें

यह कैसे अमेज़ॅन उनके एस 3 / आईएएम उदाहरणों से सुझाव देता है कि केवल कुछ उपयोगकर्ताओं या उपयोगकर्ता समूहों द्वारा ही पहुंचने के लिए स्थान प्रदान किया जा सकता है। देखें: एडब्ल्यूएस उदाहरण आईएएम नीतियां

लाभ: स्थापित करने में काफी आसान है, एडब्ल्यूएस विचारों के साथ जाता है

नुकसान: सभी बाल्टी जनता के अस्तित्व को बनाने के लिए सेना, ताकि ग्राहक अपना "घर" बाल्टी पा सकते हैं एडब्लूएस लेखा बाल्टी उपयोग के आंकड़े प्रदान करता है, लेकिन फ़ोल्डर उपयोग की नहीं, जिससे ग्राहक द्वारा लागत की गणना करना मुश्किल हो जाता है।

(3) ListAllMyBuckets के लिए पहुंच का अधिकार नहीं देते हैं

लाभ: आप जो चाहते हैं वह मिलता है: ग्राहक अन्य ग्राहक की बाल्टी देख नहीं सकते

नुकसान: ग्राहक उसे अपनी बाल्टी नहीं देख सकता है S3Browser एक अच्छा "नहीं कर सकता" संदेश के साथ आता है और बाल्टी नाम दर्ज करने के लिए पूछता है S3Fox रूट से कनेक्ट करते समय एक त्रुटि संदेश फेंकता है, लेकिन बाल्टी का नाम जाना जाता है, लेकिन क्लाइंट की बाल्टी के लिए सीधे नेविगेशन की अनुमति देता है। अमेज़ॅन एस 3 कंसोल बिल्कुल काम नहीं करता है

आशा है कि यह आपको एस 3 आईएएम को संभालने में मदद करता है।

इस नीति को आज़माएं यह भी ध्यान में रखें कि उपयोगकर्ता सूची को केवल चयनित बाल्टी जाने के लिए कोई रास्ता नहीं है आप या तो सभी बाल्टी या कोई भी सूचीबद्ध कर सकते हैं

 { "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:GetObjectAcl", "s3:PutObjectAcl", "s3:ListBucket", "s3:GetBucketAcl", "s3:PutBucketAcl", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::your_bucket_here/*", "Condition": {} }, { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "*", "Condition": {} } ] } 

ListAllMyBuckets अनुमति देने के बिना एस 3 कंसोल तक पहुंच प्रदान करना संभव नहीं है।

मेरे मामले में (और शायद तुम्हारा भी, भावी पाठक) एक स्वीकार्य विकल्प है कि उपयोगकर्ताओं को साइन-इन पर सीधे बाल्टी में रीडायरेक्ट करना होगा जिन्हें आप देखना चाहते हैं।

इसे पूरा करने के लिए, निम्नलिखित में अपने आईएएम साइन इन यूआरएल को जोड़ें: /s3/?bucket=bucket-name

पूर्ण साइन-इन URL ( अपने उपनाम और बाल्टी-नाम को बदलें):

https://your-alias.signin.aws.amazon.com/console/s3/?bucket=bucket-name

आईएएम नीति ( बाल्टी-नाम की जगह):

 { "Statement": [ { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": "s3:*", "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] } ] } 

उपयोगकर्ताओं के लिए बाल्टी विशिष्ट अनुमतियां कैसे तैयार करें, इस ब्लॉग को पढ़ें: http://mikeferrier.com/2011/10/27/granting-access-to-a-single-s3-bootet-using-amazon-iam /

अन्य बाल्टी के ज्ञान के बिना उपयोगकर्ताओं को एक विशेष बाल्टी का उपयोग करने की अनुमति देने का एक शानदार तरीका है। एक समूह नीति जो नीचे दी गई है, केवल उपयोगकर्ताओं को केवल "बाल्टी ए" देखेंगे। एकमात्र पकड़ यह है कि उपयोगकर्ता केवल बाल्टी का उपयोग करने में सक्षम होगा यदि वे दिए गए बाल्टी समापन बिंदु से कनेक्ट करते हैं। नीचे दिए गए उदाहरण के लिए बाल्टी- a.s3.amazonaws.com होगा। बाल्टी में "प्रामाणिक उपयोगकर्ता" भी हो सकते हैं जिनके लिए ऐसा होने की अनुमति होती है

 { "Statement": [ { "Sid": "<EXAMPLE_SID>", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::bucket-a" ] }, { "Sid": "<EXAMPLE_SID>", "Action": "s3:*", "Effect": "Allow", "Resource": [ "arn:aws:s3:::bucket-a/*" ] } ] } 

इस पद्धति का परीक्षण मैक ओएस / एक्स पर साइबरडक के साथ किया गया था और s3cmd पैकेज का उपयोग किया गया था

 ./s3cmd ls s3://bucket-a --access_key=ACCESS_KEY --secret_key=SECRET_KEY --bucket-locat ion=ap-southeast-2 

उलझन में क्यों कोई जवाब नहीं की जाँच की थी?

ऊपर दिए गए समाधानों से प्रत्येक पॉलिसी स्टेटमेंट को तोड़ते हैं:

यह पॉलिसी स्टेटमेंट बाल्टी की सामग्री पर लागू होता है, लेकिन खुद ही पैसा नहीं। शायद यह सवाल नहीं है कि प्रश्न के लिए क्या पूछा गया, क्योंकि आप बाल्टी में क्या नहीं देख सकते हैं।

 { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:GetObjectAcl", "s3:PutObjectAcl", "s3:ListBucket", "s3:GetBucketAcl", "s3:PutBucketAcl", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::your_bucket_here/*", "Condition": {} } 

इस दो कथन नीति से प्राप्त व्युत्पत्ति (केवल arn:aws:s3:::your_bucket_here/ ) पर बाल्टी तक केवल पढ़ने के लिए उपलब्ध है , लेकिन अभी भी बाल्टी की सामग्री ( arn:aws:s3:::your_bucket_here/* ) पर CRUD ऑप्स की अनुमति देता है।

 { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::your_bucket_here", "Condition": {} }, { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:GetObjectVersionAcl", "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectAclVersion" ], "Resource": "arn:aws:s3:::your_bucket_here/*", "Condition": {} } 

हालांकि, पॉलिसी में नीचे दिए गए बयान शामिल हैं, जो उपयोगकर्ता को सभी बिंदुओं को समापन बिंदु पर देख सकते हैं। यह संभवतः नहीं है कि प्रश्न के लिए क्या पूछा गया।

 { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "*", "Condition": {} } 

हालांकि, उपरोक्त बहुत उपयोगी यदि आप एक ग्राहक का उपयोग करते हैं जो एस 3 स्टोर को ब्राउज़ करता है। यदि आपका क्लाइंट स्टोर तक पहुंचता है और बाल्टी सीधे नहीं है, तो आपको रूट पर बाल्टी की सूची तक पहुंच की आवश्यकता है।

मैं इस प्रश्न को इस तरह व्याख्या करता हूं: "क्या मैं एक बाल्टी तक पहुंच की अनुमति दे सकता हूं, जहां कोई अन्य बाल्टी सुलभ नहीं होगी और इस तरह अदृश्य हो।" क्योंकि, बाल्टी का नाम दिखाना जिसके लिए कोई पहुंच नहीं दी गई थी, अभी भी सूचना रिसाव के समान है।

और सही उत्तर नहीं है आवश्यक अनुमति सूची AllMyBucks है जो उपयोगकर्ता को सभी बाल्टी देखने की अनुमति देगा। इस अनुमति को छोड़कर कंसोल को अनुपयोगी बना देगा

शायद सबसे सरल उपयोग केस:

 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": ["arn:aws:s3:::bucket-name"] }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": ["arn:aws:s3:::bucket-name/*"] } ] } 

मैं निम्नलिखित कार्य करने में कामयाब रहा इसका मतलब है कि अन्य बाल्टियों की सूची पहुंच अस्वीकृत संदेश प्राप्त हुई है। लेकिन मैं अभी भी बाल्टी को देखने में सक्षम था, जिसे मैं चाहता हूं अगर मैं बाल्टी के नाम से पथ के रूप में सेट करता हूं।

 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::test" }, { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": ["arn:aws:s3:::test"] }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": ["arn:aws:s3:::test/*"] } ] } 

मैं इस कनेक्शन का परीक्षण करने के लिए साइबरडॉक का उपयोग कर रहा था।

मैं एक ऐसी ही ज़रूरत को जोड़ता हूं, जिसके द्वारा हल किया गया है:

 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:Put*", "s3:DeleteObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::my-bucket-name", "arn:aws:s3:::my-bucket-name/*" ] } ] } 

एडब्ल्यूएस संगठनों का उपयोग करके ऐसा करने के लिए आसान तरीका या समाधान है। एडब्ल्यूएस संगठन आपको एकाधिक यूजर अकाउंट्स रखने की अनुमति देता है। आपके मुख्य खाते में कई एडब्ल्यूएस खाते (उप) हो सकते हैं और जो भी सेवाएं (एस 3 / ईसी 2 / *) जोड़ दी जाती हैं, केवल एएसडब्ल्यूएस खाते ही उन संसाधनों को दिखाई देंगे।

कृपया https://aws.amazon.com/blogs/aws/aws-organizations-policy-based-management-for-multiple-aws-accounts/ https://aws.amazon.com/organizations/ का संदर्भ लें

मेरा खाता पृष्ठ पर संगठन

इस पर http://blogs.aws.amazon.com/security/post/Tx3VRSWZ6B3SHAV/Writing-Iam-Policies-How-to-grant-access-to-an-Amazon-S3- बकेट पर अमेज़ॅन द्वारा विस्तृत किया गया है

समाधान मेरे लिए काम किया। मैं एक विशिष्ट उपयोगकर्ता my_iam_user को विशिष्ट बाल्टी पर अपने -3-बाल्टी पर पहुंच प्रदान करने के लिए एक नीति चाहता था।

यह नीति मेरे उपयोगकर्ता को विशिष्ट एस 3 बाल्टी पर सूचीबद्ध करने, हटाने, प्राप्त करने और फाइल करने की अनुमति देती है।

 { "Version": "2012-10-17", "Statement": [ { "Sid": "ListBucket", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/my_iam_user" }, "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3:::my-s3-bucket" }, { "Sid": "AddDeleteFiles", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/my_iam_user" }, "Action": [ "s3:DeleteObject", "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::my-s3-bucket/*" } ] } 

मैं अन्य सामानों से बाल्टी की सामग्री छिपाने के लिए निम्नलिखित सामान का उपयोग करता हूं। यह न केवल अन्य बाल्टियों को छुपाने में मदद करता है (लिस्टएल्मबायकेट्स का उपयोग न करें), लेकिन एक ही बाल्टी में भी फ़ोल्डर्स, जब आप एक बाल्टी बनाते हैं, लेकिन इसमें सबफ़ोल्डर्स को IAM उपयोगकर्ता / सबफोल्डर के लिए उचित अनुमति देना चाहते हैं।

निम्नलिखित नीति IAM ग्रुप पर लागू की गई है और सभी उपयोगकर्ता इस समूह में हैं। आपको aws:userid लेने की आवश्यकता है aws:userid और बाल्टी में एक ही नाम के साथ सबफ़ोल्डर बनाएं।

UserID ले जाया जा सकता है: aws iam get-user --user-name "user_name_for_folder_access":

 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:*" ], "Resource": [ "arn:aws:s3:::bucket_name/${aws:userid}/*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket_name" ] } ] } 

उस बाल्टी (जिस) के लिए आप का उपयोग नहीं करना चाहते हैं, के लिए Deny खंड जोड़ें। याद रखें कि वे अभी भी सूचीबद्ध हो सकते हैं, लेकिन आप उनके अंदर की सामग्री का उपयोग नहीं कर पाएंगे।

 {
     "संस्करण": "2012-10-17",
     "बयान": [
         {
             "प्रभाव": "अनुमति दें",
             "एक्शन": "s3: *",
             "संसाधन": "*"
         },
         {
             "प्रभाव": "अस्वीकार",
             "एक्शन": "s3: *",
             "संसाधन": [
                 "अर्न: एडब्ल्यूएस: S3 ::: बाल्टी-नाम",
                 "अर्न: एडब्ल्यूएस: S3 ::: बाल्टी-नाम / *"
             ]
         }
     ]
 }

यह मेरे लिए एकदम सही काम करता है उपयोगकर्ता अपलोड, डाउनलोड और फ़ाइलों की सूची प्राप्त कर सकता है, लेकिन अन्य बाल्टी से फाइल देखने में सक्षम नहीं होगा

  { "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:GetObjectAcl", "s3:PutObjectAcl", "s3:ListBucket", "s3:GetBucketAcl", "s3:PutBucketAcl", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::mybucketname/*", "Condition": {} }, { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "*", "Condition": {} }, { "Effect": "Deny", "Action": [ "s3:DeleteBucket", "s3:DeleteBucketPolicy", "s3:DeleteBucketWebsite", "s3:DeleteObject", "s3:DeleteObjectVersion" ], "Resource": "arn:aws:s3:::mybucketname/*", "Condition": {} } ] } 

हालांकि एस s3:ListAllMyBuckets प्रतिबंधित करने के लिए संभव नहीं है s3:ListAllMyBuckets विशिष्ट बाल्टी के लिए कार्रवाई, के रूप में कामकाज के लिए आप उन्हें विशिष्ट बाल्टी के लिए कंसोल यूआरएल भेज सकते हैं, उदा।

  • https://s3.console.aws.amazon.com/s3/buckets/BUCKET_NAME/

स्रोत: एस 3 कंसोल से एस 3 बाल्टी की सूची को सीमित करना

ऐसा करने के लिए, आपको दिए गए उपयोगकर्ता या समूह के लिए निम्नलिखित नीति दस्तावेज़ निर्दिष्ट करना होगा:

 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::my-bucket-1", "arn:aws:s3:::my-bucket-2" ] }, { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:GetObjectVersionAcl", "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectVersionAcl" ], "Resource": [ "arn:aws:s3:::my-bucket-1/*", "arn:aws:s3:::my-bucket-2/*" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" } ] } 

जहां my-bucket-1 और my-bucket-2 आपकी पढ़ाई और लिखने के लिए आपकी बाल्टी हैं।

सम्बंधित:

  • आईएएम नीतियां लिखना: एक अमेज़ॅन एस 3 बाल्टी के लिए एक्सेस कैसे प्रदान करें
  • विशिष्ट उपयोगकर्ता के लिए बाल्टी की सूची प्रतिबंधित करें
  • एडब्लूएस एस 3 में केवल एक विशेष बाल्टी तक पहुंचने के लिए उपयोगकर्ता कैसे प्रदान करें?
  • बाल्टी संचालन से संबंधित नीति और अनुमतियों में संसाधन निर्दिष्ट करना

हम एक साधारण सरल समाधान के साथ आया है कि उपयोगकर्ता को रूट निर्देशिका में लॉगिन करने के लिए ब्लॉक करना है। इसलिए उन्हें वांछित फ़ोल्डर में दूरस्थ पथ से लॉग इन करना होगा।

  { "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": "arn:aws:s3:::folder-name*", "Condition": {} } ] }