Amazon web services AWS IAM GroupPolicy-为什么s3:PutObject权限不起作用？

我有一个小组，我已将以下政策应用于该小组。我向组中添加了一个用户，并为该用户创建了访问密钥。我能从“我的桶”中得到，但我不能把它放到“我的桶”中。当我尝试放置时，我得到“拒绝访问”。谁能告诉我我做错了什么。请让我知道

   {
       "Statement":[{
          "Effect":"Allow",
          "Action":["s3:PutObject","s3:GetObject"],
          "Resource":["arn:aws:s3:::mybucket","arn:aws:s3:::mybucket/*"] 
          },
          {
          "Effect":"Deny",
          "Action":["*"],
          "NotResource":["arn:aws:s3:::mybucket","arn:aws:s3:::mybucket/*"]  
          }
       ]
    }

---

编辑：有人让我陈述政策的目标。我只想“允许”对指定存储桶的组进行放置和获取权限。我想明确地“拒绝”该组对所有未指定（NotResource）的资源的所有其他权限。我在AWS发布的一篇文章中添加了明确的“Deny”，这篇文章表明这样做是一种良好的做法。

Deny语句始终优先于Allow语句，这意味着上述策略应该阻止用户的所有访问。您是如何处理Get和Put请求的？GET是否可能是匿名执行的（没有身份验证）

---

了解您对上述政策的目标会有帮助吗？Deny语句的用途是什么？

Deny语句始终优先于Allow语句，这意味着上述策略应阻止用户的所有访问。您是如何处理Get和Put请求的？GET是否可能是匿名执行的（没有身份验证）

了解您对上述政策的目标会有帮助吗？拒绝声明的目的是什么？

来自：

每个策略必须只覆盖单个bucket和该bucket中的资源（在编写策略时，不要包含引用其他bucket或其他bucket中的资源的语句）

发件人：

每个策略必须只覆盖单个bucket和该bucket中的资源（在编写策略时，不要包含引用其他bucket或其他bucket中的资源的语句）

---

bucket是否由相关用户的父帐户所有？涉及多个帐户的S3权限变得更加复杂。策略看起来是正确的，它应该为Get和Put应用等效的权限，这使我认为Get是出于不同的原因工作的（例如，bucket是否匿名可读？）bucket是否属于相关用户的父帐户？涉及多个帐户的S3权限变得更加复杂。策略看起来是正确的，它应该为Get和Put应用等效的权限，这让我认为Get是出于不同的原因工作的（例如，bucket是否匿名可读？）看起来他们没有遵循自己的建议，请参阅-第二个示例违反了5条准则中的3条。看起来他们没有遵循自己的建议，请参阅-第二个示例违反了5条准则中的3条。