IAM策略不显式地允许列出S3对象，但我仍然可以使用这个JavaScript列出它们

Question

这是我的政策：

{
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:PutObject",
            "s3:PutObjectAcl"
        ],
        "Resource": [
            "arn:aws:s3:::mybucket/images/products/full-images/*",
            "arn:aws:s3:::mybucket/images/products/mediums/*",
            "arn:aws:s3:::mybucket/images/products/thumbs/*"
        ]
    }
]
}

如您所见，未列出“列表对象”权限。但是，我仍然可以通过以下方式列出这些文件夹中的对象：

s3.listObjects({ Prefix: albumPhotosKey }, function(err, data) {
        if (err) {
        return alert("There was an error viewing your album: " + err.message);
        } else {
            console.log(data);
        }
    });

如何防止这些文件夹中的对象列表？我只需要允许上传给他们，仅此而已。

Answer 1

已修复。我必须编辑ACL并为公众删除列表访问权限。