3

我为我的任务设置了一个具有以下权限的 IAM 角色,但我在尝试访问存储桶时 被拒绝访问。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bucket/Templates/*",
                "arn:aws:s3:::bucket/*",
                "arn:aws:s3:::anotherBucket/*"
            ]
        }
    ]
}

容器实例具有标准 AmazonEC2ContainerServiceforEC2Role策略的角色。

我似乎能够从存储桶/像存储桶/00001 下读取和写入文件夹,但我无法从存储桶/模板读取。

我反复重新部署了权限和任务(使用 terraform),但没有任何改变。我已经向应用程序添加了日志记录,以确保它使用正确的存储桶和路径/键。

我难住了。有人知道我在这里可能错过了什么吗?

谢谢

PS:我刚刚想到,我无法访问的存储桶中的文件我使用脚本复制到那里。这是使用任务使用的凭据以外的凭据完成的。

aws s3 cp ..\Api\somefiles\000000000001\ s3://bucket/000000000001 --recursive --profile p aws s3 cp ..\Api\somefiles\Templates\000000000001\ s3://bucket/Templates/000000000001 --recursive --profile p

我在 cp 命令上使用了 -acl bucket-owner-full-control 但我删除了它以查看是否有帮助 - 它没有。也许我需要别的东西?

4

2 回答 2

2

它现在可以工作,因为您将资源更改为匹配“ ”。尝试将存储桶本身添加为资源,以及 /模式:

"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "sid1",
        "Effect": "Allow",
        "Action": [
            "s3:ListAllMyBuckets",
            "s3:ListBucket",
            "s3:HeadBucket"
        ],
        "Resource": "*"
    },
    {
        "Sid": "sid2",
        "Effect": "Allow",
        "Action": "s3:*",
        "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*",
                "arn:aws:s3:::anotherBucket"
                "arn:aws:s3:::anotherBucket/*",
            ]
    }
]
于 2020-06-04T17:25:38.320 回答
1

解决了。从以前的雇主那里找到一个旧样本:) 我需要明确的 List* 权限,与其他权限分开。我还需要定义 sids。

"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "sid1",
        "Effect": "Allow",
        "Action": [
            "s3:ListAllMyBuckets",
            "s3:ListBucket",
            "s3:HeadBucket"
        ],
        "Resource": "*"
    },
    {
        "Sid": "sid2",
        "Effect": "Allow",
        "Action": "s3:*",
        "Resource": "*"
    }
]

}

于 2018-05-14T22:28:47.890 回答