Gostaria de restringir o acesso público a alguns objetos que armazenamos no S3, mas mostrar outros objetos na mesma hierarquia de chaves. Por exemplo, suponha que eu queira fazerbucketname/* publicamente legível. Mas deseja impedir o acesso abucketname/*/hidden/* para usuários que não tenham acesso expressamente no IAM.

Eu posso fazer isso com uma política de bucket como:

{
  "Id": "Policy123",
  "Statement": [
    {
      "Sid": "Stmt123",
      "Action": [ "s3:GetObject" ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::bucketname/*",
      "Principal": {
        "AWS": [ "*" ]
      }
    },
    {
      "Sid": "Stmt124",
      "Action": [ "s3:GetObject" ],
      "Effect": "Deny",
      "Resource": "arn:aws:s3:::bucketname/*/hidden/*",
      "Principal": {
        "AWS": [ "*" ]
      }
  ]
}

Mas isso impede que usuários / grupos do IAM concedidos acessem os objetos ocultos. Existe uma configuração paraDireto na segunda instrução que corresponde apenas ao acesso não autenticado? Ou melhor ainda, existe uma maneira de listar apenas aqueles Diretores Isso deveriaNÃ ser afetado por uma declaração de política?