0

我有两个帐户:帐户 A 和帐户 B。

我正在账户 A 中执行 Athena 查询,并希望将查询结果填充到账户 B 的 S3 存储桶中。

我已经在单个帐户中测试了无数次执行此操作的脚本,因此知道我的代码没有问题。Athena 中的查询历史也表明我的代码已经运行成功,所以一定是权限问题。

我可以在帐户 B 中看到包含 CSV 文件和查询结果的对象(如预期的那样),但由于某种原因无法打开或下载它以查看内容。当我尝试这样做时,我只看到显示以下内容的 XML 代码:

<Code>AccessDenied</Code>
<Message>Access Denied</Message>

在文件属性中,我Unknown Error在下方看到一条关于不允许该操作Server-side encryption settings的消息。You don't have permission to get object ACLs3:GetObjectAcl

我尝试通过账户 B 中的存储桶策略为账户 A 和账户 B 提供完整的 S3 权限,如下所示:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "This is for Account A",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::iam-number-account-a:root"
      },
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::my-bucket-name",
        "arn:aws:s3:::my-bucket-name/*"
      ]
    },
    {
      "Sid": "This is for Account B",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::iam-number-account-b:root"
      },
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::my-bucket-name",
        "arn:aws:s3:::my-bucket-name/*"
      ]
    }
  ]
}

可能导致我的问题的其他一些存储桶(帐户 B)配置设置:

  • 默认加密:禁用

  • 阻止公共访问:关闭一切

  • 对象所有权:首选存储桶所有者

  • 访问控制列表:

Bucket Owner - Account B: Objects (List, Write), Bucket ACL (Read, Write)

外部账户 - 账户 A:对象(写入)、存储桶 ACL(写入)

如果有人可以帮助确定我的问题以及我需要解决的问题,那将不胜感激。几个小时以来,我一直在努力寻找解决方案。

4

2 回答 2

0

CTAS 查询bucket-owner-full-control默认具有 ACL,用于通过 Athena 进行跨账户写入

于 2021-07-29T05:12:59.587 回答
0

在属于不同 AWS 账户的 Amazon S3 存储桶中创建对象时的一个常见问题是对象“所有者”仍然是原始账户。在 Amazon S3 中复制对象时,可以通过指定ACL=bucket-owner-full-control.

但是,在使用 Amazon Athena 创建文件时,这可能是不可能的。

查看其他类似的 StackOverflow 问题:

一些解决方法可能是:

  • 写入账户 A 中的 S3 存储桶并使用存储桶策略授予对账户 B 的读取访问权限,
  • 写入账户 A 中的 S3 存储桶并让 S3 触发 AWS Lambda 函数,该函数将对象复制到账户 B 中的存储桶,同时指定ACL=bucket-owner-full-control
  • 向账户 B 中的 IAM 用户或角色授予对源数据的访问权限,并从账户 B 运行 Athena 查询,以便账户 B 写入“输出”存储桶
于 2021-07-26T05:43:53.107 回答