ユーザーにファイルをS3バケットにアップロードさせ、上書きまたは削除させないようにするにはどうすればよいですか？

ユーザーに次のIAMポリシーがあります

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1395161912000",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:PutObject",
        "s3:*"
      ],
      "Resource": [
        "arn:aws:s3:::bucketname"
      ]
    },
    {
      "Sid": "list",
      "Effect": "Allow",
      "Action": [
        "s3:ListAllMyBuckets"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ]
    }
  ]
}

目標は、ユーザーがファイルをバケットにアップロードできるようにすることですが、上書きや削除はできません。バックアップ用です。私は始まったListBucketとPutObject、しかし、追加*、それは動作しませんでしたと。*ユーザーがファイルをアップロードすることさえできず、ただ取得しAccess Deniedます。

シミュレーターを試すと、が返さDenied - Implicitly denied (no matching statements found).れますがListBucket、暗黙的に許可されているため、奇妙に思えます。

S3クライアントとしてCyber​​duckと3Hubの両方を試しました。

何が間違っているのでしょうか？

Amazon S3用のAmazon IAMポリシーを作成する場合、サービスの操作（ListAllMyBucketsなど）、バケットの操作（ListBucketなど）とオブジェクトの操作（GetObjectなど）の違いに注意する必要があります。

特に、Resourceポリシーの仕様は、次のパターンに従って適切なターゲットエンティティに対応する必要があります（たとえば、Amazon S3のさまざまなポリシーの例を参照）。

• サービスの操作- arn:aws:s3:::*
• バケットの操作- arn:aws:s3:::<bucket>
• オブジェクトの操作- arn:aws:s3:::<bucket>/<object>

溶液

に遭遇しAccess Deniedているのは、のバケットレベルのリソースを指定したためです。PutObjectこれにはarn:aws:s3:::<bucket>/*、次のようなオブジェクトレベルのリソース仕様が必要です。したがって、次のポリシーがサンプルユースケースをカバーする必要があります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:ListAllMyBuckets"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::bucketname"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketname/*"
      ]
    }
  ]
}