Para nosso caso de uso, é necessário alterar a política de buckets para confiar no principal da conta, em vez de em uma função específica, e controlar quem recebeu esse acesso na maneira habitual de função do IAM.
Para referência, link e política de buckets de amostra abaixo.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow Development Read-only Access",
"Effect": "Allow",
"Principal": {
"AWS": "012345678910"
},
"Action": [
"s3:List*",
"s3:Get*"
],
"Resource": [
"arn:aws:s3:::sample-bucket",
"arn:aws:s3:::sample-bucket/*"
]
}
]
}