aws s3仅允许cloudfront访问_配置跨账户S3存储桶的访问

【 Domain 1的组织复杂性设计（Design for Organizational Complexity）】——-配置跨账户S3存储桶的访问（Cross Account S3 Bucket Configuration）

Hello大家好，欢迎回来，我们今天的课程内容是跨账户S3存储桶的访问。

当前，在很多组织中，应用跨账户S3存储桶访问的架构组成是非常普遍的，同样，对于AWS SAP认证考试，掌握跨账户存储桶的访问知识点也是非常重要。

关注微信公众号：AWS爱好者

我们开始今天的课程。

使用存储桶策略配置跨账户S3存储桶访问

将S3存储桶的访问权限授予属于不同aws帐户的委托人，在很多组织的AWS架构中非常常见，为了能够让大家更容易的掌握这方面内容，我将要做个实操演示，画了个简单的架构图，后面的演示都依照此架构来进行。

我们看下图，假设当前组织有两个AWS账户，左边的ACCOUNT A 中包括组织所有的S3存储桶，右边的ACCOUNT B中运行着组织所有的EC2资源，假设ACCOUNT B中的EC2需要定期备份重要数据到ACCOUNT A中的存储桶，能不能实现呢？我们知道，创建的S3存储桶默认情况下是私有的，任何存储桶拥有者之外的账户都不能访问存储桶，在这种情况下，就需要使用存储桶策略来达成 跨账户进行S3存储桶访问，也就是说ACCOUNT A中的创建存储桶策略，允许ACCOUNT B访问存储桶。

在接下来的内容，我们来演示下如何实现。

配置S3存储桶策略

首先