При том, что Bucket знает только про номер аккаунта, к которому привязаны все юзвери, никому из юзверей кроме рута читать не даёт.

Использовать credentials root-а при работе с AWS крайне не рекомендуется. Это old-style/legacy вариант, актуальный до 2011-го года, когда появились IAM пользователи.

Использовать ACL для разделения доступа к S3-бакету крайне не рекомендуется, это old-style/legacy вариант, актуальный до 2011-го года, когда появились bucket policy и IAM для управления доступом к содержимому бакетов.

Чтобы посмотреть S3 Canonical ID - нужно использовать команду aws s3api list-buckets.

Сложно, т.к. это старая схема — root, ACL и прочие давно устаревшие вещи. Добро пожаловать в мир AWS десятилетней давности. :)

Heroku десятилетней давности таких проблем не вызывает. :D

Чтобы посмотреть ID пользователя, ему надо завести bucket, а бакет я не могу ему завести, потому что ID не знаю. Catch22.

Хочу простого --grant-full-access AKIA... но оно не работает. Грит, айдишник не тот.

После 3ёх дней ничего не работает. Пришлось, наконец, читать документацию. :D

В итоге вырулил на официальный конструктор по созданию bucket policy. OMG. И теперь я не знаю, какие из 50 галок в списке надо не забыть, чтобы этот пользователь умел читать/писать в бакет, но не взрывать через него эту звезду смерти.

у меня лид был такой, сначала методом научного тыка и когда всё варианты испробованы и не работают "пойдем читать доку" =)

Потому что "все врут" (с) какой-то там доктор. )

Кстати, про bucket policy я в итоге не в документации прочитал, а на форуме поддержки. Документация нужна была чтобы зоопарк айдишников отклассифицировать и задать грамотный вопрос гуглу - что теперь с этим вот всем делать? )

а юзер из того же авс аккаунта, что и бакет? тогда можно просто  обычную полиси, через которую прописать все нужные права

Да, юзверя специально для бакета создал, чтобы веб приложение писало в свой бакет и не поднимало бунт под предводительством всяких хакеров.В чем разница между

обычной полиси и bucket policy которую я нашёл? )

Doctor House

Всем привет! как узнать если ли у инстанса RI (Reserved Instance) ? какая опция указывает что инстанс зарезервирован?

а никакая насколько мне известно, просто биллинг считает сколько за инстансы взять в соответствии с резервами

Т.е. просто надо ввести ексельку?

https://aws.amazon.com/ec2/pricing/reserved-instances/ здесь же вроде описано

это все понятно, но вот у меня есть дескрайб инстнаса и где параметр который указывает RI он или нет

let’s say you own an m4.2xlarge Linux/UNIX RI with default tenancy in US East (N.Virginia). Then this RI’s discounted rate can automatically apply to two m4.xlarge instances in us-east-1a or four m4.large instances in us-east-1b.

И вот это важный нюанс