Для того, чтобы разрешить доступ на чтение с S3 корзины для всех аккаунтов входящих в организацию, на бакет нужно повесить следующую политику:
{ "Version": "2012-10-17", "Statement": { "Sid": "AllowOrganizationToReadBucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::stackset-lambdas", "arn:aws:s3:::stackset-lambdas/*" ], "Condition": { "StringEquals": {"aws:PrincipalOrgID":["o-xxxxxxxxxx"]} } } }
Где "stackset-lambdas" имя S3 корзины, а "o-xxxxxxxxxx" — ваш Organization ID.