Donc pour autoriser un compte externe, on va lier une bucker policy sur notre bucket pour autoriser "id_du_compte:root" (on est obligé d'autoriser 'root', en fait ça veut dire qu'on autorise le compte en face mais on ne peut pas être plus précis à ce niveau là)

C'est le compte en face qui va décider qui a le droit de venir sur notre bucket avec des user policy standard (quand on est dans le contexte du compte en face, c'est comme si le bucket nous appartenait)

Exemple bucket policy à mettre sur le BUCKET de l'account A pour autoriser l'account xxx en RW


{
    "Version": "2012-10-17",
    "Statement": [





        {
            "Sid": "Allow account_xx on aws account xxx RW",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::OTHER_ACCOUNT_ID:root"
            },
            "Action": ["s3:GetBucketLocation", "s3:ListBucket"],
            "Resource": "arn:aws:s3:::BUCKET"
        },
        {
            "Sid": "Allow account_xx on aws account xxx RW",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::OTHER_ACCOUNT_ID:root"
            },
            "Action": [
                "s3:*"
            ],
            "Resource": "arn:aws:s3:::BUCKET/*"
        }




    ]
}

Pour Read only, remplacer action du deuxieme bloc par "Action": ["s3:Get*","s3:List*"],

Warning : this loop does a lot of call to aws api, use it with caution

To know that I needed to list all policies and associated statements (for the default policy version)

#!/bin/bash
IFS=$'\n'
for line in $(aws iam list-policies|jq '.Policies|.[]|[ .PolicyName, .Arn, .DefaultVersionId ]| @csv' -r|sed 's/","/ /g'|sed 's/"//g'); do
    name=$(echo $line|cut -d' ' -f1);
    arn=$(echo $line|cut -d' ' -f2);
    version=$(echo $line|cut -d' ' -f3);
    echo "$name"
    aws iam get-policy-version --policy-arn $arn --version-id $version
done


Put this in a script, redirect output to a file and go get grep!