Confirmați înțelegerea IAM cu S3 Bucket Policy și ELB

Am configurat un bucket S3 cu politica sugerată de https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html#access-logging-bucket-permissions (cu înlocuiri evidente de ID), acest lucru funcționează, jurnalele ALB lovesc găleata S3.

Apoi am început să mă întreb despre politica exactă. Se pare că această politică permite întregului ELB (nu este conectat la contul meu - ID-ul contului este pe ID-ul regiunii pentru ELB) să PutObject în compartimentul meu S3 și prefixul definit de resursă.

Aș dori să confirm că am înțeles că acest lucru este „în regulă”, deoarece este sarcina ALB/ELB la momentul creării să verific dacă găleata S3 aparține titularului contului sau a fost configurată pentru a permite delegarea încrucișată a contului/rolului de creare. resursele ELB/ALB. Ce se întâmplă în cazul delegării încrucișate de cont dacă celălalt deținător de cont elimină permisiunile pentru contul meu, ALB/ELB verifică continuu acest lucru și apoi elimină permisiunea?