代码之家 › 专栏 › 技术社区 › geoffjay

从不同环境中的配置文件上载到AWS S3 bucket

amazon-s3 amazon-web-services

geoffjay · 技术社区 · 4 年前

我可以访问两个AWS环境中的一个,我在其中创建了一个受保护的S3 bucket,以便从一个我没有的帐户上载文件。我无法访问的环境和帐户是项目CI使用的内容。

我可以访问的环境: env1
我无法访问的环境: env2
user/ci
content

S3桶策略:

{
    "Version": "2008-10-17",
    "Id": "PolicyForCloudFrontPrivateContent",
    "Statement": [
        {
            ...
        },
        {
            "Sid": "Allow access to bucket from profile in env1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/ci"
            },
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket*"
            ],
            "Resource": "arn:aws:s3:::content"
        },
        {
            "Sid": "Allow access to bucket items from profile in env1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/ci"
            },
            "Action": [
                "s3:Get*",
                "s3:PutObject",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::content",
                "arn:aws:s3:::content/*"
            ]
        }
    ]
}

从配置为 环境1 和我在用命令测试

aws s3 sync content/ s3://content/

我得到一个错误:

fatal error: An error occurred (AccessDenied) when calling the ListObjectsV2 operation: Access Denied

我有两个问题:

我用的是正确的吗 aws
我的水桶政策有什么遗漏吗?

对于后者,我基本上遵循了网上大量的例子和答案。

0 回复 | 直到 4 年前

John Rotenstein 4 年前

为了测试您的策略,我做了以下操作:

创建了一个Amazon S3 bucket
通过以下方式对铲斗进行测试:

aws s3 ls s3://bucketname

aws s3 sync folder/ s3://bucketname/folder/

因此,您显示的策略似乎正在授予所有必要的权限。您可能有其他东西拒绝访问存储桶。

geoffjay 3 年前

解决办法是给ACL

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"      
            ],
            "Resource": [
                "arn:aws:s3:::content",
                "arn:aws:s3:::content/*"
            ]
        }
    ]
}

到 user/ci 在里面 env1

推荐文章

Anna Berezko · AWS匹配不支持的TLD域名和S3 bucket静态网站

1 年前

renzCNFT · 与s3相比,workdocs有什么优势

2 年前

Hasham · 如何将多个本地文件上载到s3中的一个文件

2 年前

sebas flores · S3 URL-使用python下载

2 年前

Jawwad Hussain · 带s3 amazaon的玛雅edms

2 年前

sklal · 在Python中从S3存储桶读取xml文件——只存储最后一个文件的内容

2 年前

Tobitor · S3:无效的bucket name-bucket name必须与正则表达式匹配

2 年前

geo909 · AWS Athena:具有非标准文件结构的S3存储桶分区表

2 年前

DEB · 上传焦油。gz文件到S3 Bucket,使用Bot3和Python

2 年前

omid · 下一个js-导出站点的目录结构

2 年前