IAM用户策略在Amazon S3存储桶上返回403禁止访问错误

我发现为了让上传工作起来，需要在这里包含" s3:PutObjectAcl "操作。以下是我的IAM策略示例：

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "s3:GetBucketLocation",
                    "s3:ListAllMyBuckets"
                ],
                "Resource": "arn:aws:s3:::*"
            },
            {
                "Effect": "Allow",
                "Action": [
                    "s3:ListBucket"
                ],
                "Resource": [
                    "arn:aws:s3:::vault-us"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "s3:PutObject",
                    "s3:PutObjectAcl"
                ],
                "Resource": [
                    "arn:aws:s3:::vault-us/*"
                ]
            }
        ]
    }

首先，您可以确定是操作有误还是资源范围有误，您可以逐个使用这两个策略：

    "Action": [
      "s3:*"
    ],
    "Resource": [
      "arn:aws:s3:::vault-us/*"
    ]

and

    "Action": [
      "s3:DeleteObject",
      "s3:GetObject",
      "s3:PutObject"
    ],
    "Resource": [
      "*"
    ]

如果第一个操作成功而第二个失败，那么您没有足够的权限执行该操作。例如，尝试添加listBucket或类似权限（我倾向于添加所有可能的权限，并逐渐删除，直到出现错误）。
如果第一个操作失败而第二个操作成功，则您的资源声明是错误的。最常见的修复方法是尝试添加：

    "Action": [
      "s3:DeleteObject",
      "s3:GetObject",
      "s3:PutObject"
    ],
    "Resource": [
      "arn:aws:s3:::vault-us/*",
      "arn:aws:s3:::vault-us"
    ]

如果两者都失败了，那么很可能是您的操作和资源都有问题。
祝好运。