AWS S3バケットポリシー - プレフィックス内でのみGetObjectを許可する

Question

私のバケツにポリシーを設定しようとしています。オブジェクトに公開された 'GetObject'アクセスを許可します。このように：

{ 
     "Effect": "Allow", 
     "Principal": "*", 
     "Action": "s3:GetObject", 
     "Resource": "arn:aws:s3:::mybucket/publicstuff/*" 
    } 

問題は、AWSはこれがバケット全体を公開すると警告しています。そして確かに、それはそうです。/mybucket/anywhereelse /からオブジェクトを取得しようとすると、S3はそれを自由に提供します。 「mybucket」の後のすべては無視されます。

バケット内の特定のプレフィックスに適用できるバケットポリシーを構築する方法はありますか。ポリシー条件を試しましたが、s3：GetObjectアクションを使用するときにs3：接頭辞を使用できないことがわかりました。

Answer 1

バケツが一般にアクセス可能であることを示す表示がありますが、これはまったく問題ありません。このインジケータは、このバケットの（一部のコンテンツへの）パブリックアクセスが提供されていることを示しています。
問題がないことを確認するには、公開されているアクセス可能なフォルダの外部にあるファイルをテストし、そのポリシーのために一般にアクセス可能なファイルと比較するだけです。
あなたが私は、公衆にアクセス可能な私のバケットのサブフォルダ（toignore）を行った以下の画像で見ることができます。これは、バケツのツリービューで

：

私の方針に基づき
││└──i.txt
toignore├──│└──ni.txt

├──ディレクトリ
、私は。 txtは一般公開されていますが、ni.txtは公開されていません。

Answer 2

ありがとう@michaelと@mok、私は答えを見つけました：私はバカです。私が標準的な動作を確認するために使用した他のオブジェクトは、getObjectを許可する個々のパーミッションを持っていて、そこに置いたり、そこにいることに気付かなかった。これらの権限を削除すると、これらのオブジェクトにはまだアクセスできたように見えましたが、実際にキャッシュされたコピーを取得していました。これらの偽のアクセス許可を削除し、まったく別のブラウザを使用すると、最初に投稿されたポリシーが正しいことが確認されました。ご迷惑おかけして申し訳ありません。