¿Cómo elimino a un usuario "beneficiario" de la pestaña de permisos de S3?

Question

Esto es realmente una pregunta de dos partes:

Veo algunos usuarios en el menú desplegable "Beneficiario" para editar permisos de S3 dentro de la consola de AWS.

1. ¿De dónde provienen esos usuarios?
2. ¿Cómo puedo eliminarlos?

No están en IAM, así que no estoy muy seguro de dónde vienen.

Answer 1

Un concesionario puede ser una cuenta de AWS (que probablemente haya agregado anteriormente) o un "grupo" de AWS predefinido, como "Usuarios autenticados", "Todos los usuarios" o "Log Delivery". Para obtener más información, consulte ACL Overview, en documentos de AWS.

Para eliminar concesiones de un archivo dado (o de un conjunto de archivos), puede usar la operación PUT Object acl.

No está claro, en la documentación, lo que debe hacer para eliminar un usuario de la lista de "Beneficiario". He realizado algunas pruebas y así es como S3 está comportando:

• Si selecciona un archivo utilizando la consola de administración S3 y agrega permiso a un usuario nuevo (todavía no está en la lista de los beneficiarios), utilizando su dirección de correo electrónico (Agrega asegúrese de que el correo electrónico pertenezca a una cuenta de Amazon válida), ese usuario NO va a la ACL del depósito, sino que va a la ACL del objeto. Este usuario también va a la lista de beneficiarios de forma permanente (a pesar de que su nombre descriptivo, en lugar de su dirección de correo electrónico, es lo que aparece allí).
• Si cierra sesión en la consola de AWS e inicia sesión de nuevo, el usuario aún se encuentra en la lista de beneficiarios y puede otorgarle permisos para otros objetos.
• Si elimina los permisos de usuario dados en cada objeto, cierre sesión y vuelva a iniciar sesión, el usuario ya no aparecerá en la lista de beneficiarios.
• Si agrega un usuario determinado a la ACL del depósito (ya sea a través de API o a través de AWS Console), el usuario siempre estará en la lista de beneficiarios para los objetos en ese depósito.

Esto me hace pensar en la lista de los concesionarios contiene la lista de usuarios en el ACL su cubo más un caché de los usuarios con permisos para objetos en su cubo (que se elimina al cerrar sesión, si se quita los permisos).

Por lo tanto, trataría primero de eliminar los usuarios que no desea de la ACL de su depósito, y luego (a través de API, por supuesto) eliminar los permisos de ese usuario para los objetos en su depósito.

Answer 2

Si hay un nombre de beneficiario específico que no puede encontrar en IAM, es probable que sea el concesionario predeterminado que le corresponde a usted. Su nombre es el mismo que el AWS Forum nickname.