AccessDenied สำหรับ ListObjects สำหรับ S3 ที่เก็บข้อมูลเมื่อสิทธิ์เป็น s3: *

ฉันได้รับ:

เกิดข้อผิดพลาด (AccessDenied) เมื่อเรียกใช้การดำเนินการ ListObjects: Access Denied

เมื่อฉันพยายามรับโฟลเดอร์จากที่เก็บ S3 ของฉัน

ใช้คำสั่งนี้:

aws s3 cp s3://bucket-name/data/all-data/ . --recursive

สิทธิ์ IAM สำหรับที่เก็บข้อมูลมีลักษณะดังนี้:

{
"Version": "version_id",
"Statement": [
    {
        "Sid": "some_id",
        "Effect": "Allow",
        "Action": [
            "s3:*"
        ],
        "Resource": [
            "arn:aws:s3:::bucketname/*"
        ]
    }
] }

ฉันต้องเปลี่ยนแปลงอะไรบ้างจึงจะทำได้copyและlsประสบความสำเร็จ

คุณได้รับอนุญาตให้ดำเนินการคำสั่งกับอ็อบเจ็กต์ภายในที่เก็บข้อมูล S3 แต่คุณไม่ได้รับอนุญาตให้ดำเนินการใด ๆ กับที่เก็บข้อมูล

การปรับเปลี่ยนนโยบายของคุณเล็กน้อยจะมีลักษณะดังนี้:

{
  "Version": "version_id",
  "Statement": [
    {
        "Sid": "some_id",
        "Effect": "Allow",
        "Action": [
            "s3:*"
        ],
        "Resource": [
            "arn:aws:s3:::bucketname",
            "arn:aws:s3:::bucketname/*"
        ]
    }
  ] 
}

อย่างไรก็ตามอาจให้สิทธิ์มากกว่าที่จำเป็น การปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดของ AWS IAM ในการให้สิทธิ์น้อยที่สุดจะมีลักษณะดังนี้:

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:ListBucket"
          ],
          "Resource": [
              "arn:aws:s3:::bucketname"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "s3:GetObject"
          ],
          "Resource": [
              "arn:aws:s3:::bucketname/*"
          ]
      }
  ]
}

หากคุณต้องการคัดลอกออบเจ็กต์ที่เก็บข้อมูล s3 ทั้งหมดโดยใช้คำสั่ง "aws s3 cp s3: // bucket-name / data / all-data /. --recursive" ตามที่คุณกล่าวไว้นี่เป็นนโยบายที่ปลอดภัยและน้อยที่สุดในการดำเนินการ:

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:ListBucket"
          ],
          "Resource": [
              "arn:aws:s3:::bucket-name"
          ],
          "Condition": {
              "StringLike": {
                  "s3:prefix": "data/all-data/*"
              }
          }
      },
      {
          "Effect": "Allow",
          "Action": [
              "s3:GetObject"
          ],
          "Resource": [
              "arn:aws:s3:::bucket-name/data/all-data/*"
          ]
      }
  ]
}

คำสั่งแรกในนโยบายนี้อนุญาตให้แสดงรายการวัตถุภายในไดเรกทอรีย่อยของที่เก็บข้อมูลเฉพาะ ทรัพยากรต้องเป็นอาร์เรย์ของบัคเก็ต S3 และเพื่อ จำกัด การแสดงรายการเฉพาะไดเรกทอรีย่อยในที่เก็บข้อมูลนั้นคุณสามารถแก้ไขค่า "s3: prefix" ได้

คำสั่งที่สองในนโยบายนี้อนุญาตให้รับวัตถุภายในที่เก็บข้อมูลในไดเรกทอรีย่อยที่ระบุ ซึ่งหมายความว่าทุกสิ่งภายในเส้นทาง "s3: // bucket-name / data / all-data /" ที่คุณจะคัดลอกได้ โปรดทราบว่าสิ่งนี้ไม่อนุญาตให้คุณคัดลอกจากพา ธ ระดับบนสุดเช่น "s3: // bucket-name / data /"

โซลูชันนี้มีไว้เพื่อ จำกัด การใช้คำสั่ง AWS CLI โดยเฉพาะ หากคุณต้องการ จำกัด การเข้าถึง S3 ผ่านคอนโซล AWS หรือ API จำเป็นต้องมีนโยบายเพิ่มเติม ผมขอแนะนำการดูที่นี่: https://aws.amazon.com/blogs/security/writing-iam-policies-grant-access-to-user-specific-folders-in-an-amazon-s3-bucket/

ปัญหาที่คล้ายกันนี้สามารถพบได้ที่นี่ซึ่งนำฉันไปสู่วิธีแก้ปัญหาที่ฉันให้ https://github.com/aws/aws-cli/issues/2408

หวังว่านี่จะช่วยได้!

คุณต้องระบุทรัพยากรสำหรับที่เก็บข้อมูลผ่าน "arn: aws: 3 ::: bucketname" หรือ "arn: aws: 3 ::: bucketname *" อย่างหลังนี้เป็นที่ต้องการเนื่องจากอนุญาตให้ใช้งานวัตถุในถังได้เช่นกัน สังเกตว่าไม่มีการเฉือน!

การแสดงรายการวัตถุคือการดำเนินการบน Bucket ดังนั้นจึงต้องมีการดำเนินการ "s3: ListBucket" การเพิ่มวัตถุลงใน Bucket เป็นการดำเนินการบน Object ดังนั้นจึงจำเป็นต้องมีการดำเนินการ "s3: PutObject" แน่นอนคุณอาจต้องการเพิ่มการดำเนินการอื่น ๆ ตามที่คุณต้องการ

{
"Version": "version_id",
"Statement": [
    {
        "Sid": "some_id",
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::bucketname*"
        ]
    }
] 
}

ฉันไม่สามารถเข้าถึง S3 ได้เนื่องจาก

• ก่อนอื่นฉันกำหนดค่าการเข้าถึงคีย์บนอินสแตนซ์ (ไม่สามารถแนบบทบาทได้หลังจากเปิดตัวแล้ว)
• ลืมเรื่องนี้ไปสองสามเดือน
• แนบบทบาทกับอินสแตนซ์
• พยายามเข้าถึง คีย์ที่กำหนดค่ามีลำดับความสำคัญสูงกว่าบทบาทและการเข้าถึงถูกปฏิเสธเนื่องจากผู้ใช้ไม่ได้รับสิทธิ์ S3 ที่จำเป็น

วิธีแก้ไข: rm -rf .aws/credentialsจากนั้นawsใช้บทบาท

ฉันได้รับข้อผิดพลาดเดียวกันเมื่อใช้นโยบายด้านล่างแม้ว่าฉันจะมี "s3: ListBucket" สำหรับการดำเนินการ s3: ListObjects

{
"Version": "2012-10-17",
"Statement": [
    {
        "Action": [
            "s3:ListBucket",
            "s3:GetObject",
            "s3:GetObjectAcl"
        ],
        "Resource": [
            "arn:aws:s3:::<bucketname>/*",
            "arn:aws:s3:::*-bucket/*"
        ],
        "Effect": "Allow"
    }
  ]
 }

จากนั้นฉันแก้ไขโดยเพิ่มหนึ่งบรรทัด "arn: aws: s3 ::: bucketname"

{
"Version": "2012-10-17",
"Statement": [
    {
        "Action": [
            "s3:ListBucket",
            "s3:GetObject",
            "s3:GetObjectAcl"
        ],
        "Resource": [
             "arn:aws:s3:::<bucketname>",
            "arn:aws:s3:::<bucketname>/*",
            "arn:aws:s3:::*-bucket/*"
        ],
        "Effect": "Allow"
    }
 ]
}

ฉันคิดว่าข้อผิดพลาดเกิดจากการกระทำ"s3: ListObjects"แต่ฉันต้องเพิ่มการกระทำ "s3: ListBucket"เพื่อแก้ปัญหา "AccessDenied for ListObjects for S3 bucket"

ฉันประสบปัญหาเดียวกัน ฉันเพิ่งเพิ่มการกำหนดค่าข้อมูลรับรอง:

aws_access_key_id = your_aws_access_key_id
aws_secret_access_key = your_aws_secret_access_key

ลงใน"~ / .aws / credentials" + รีสตาร์ทเทอร์มินัลสำหรับโปรไฟล์เริ่มต้น

ในกรณีของหลายโปรไฟล์- ต้องเพิ่มอาร์กิวเมนต์โปรไฟล์:

aws s3 sync ./localDir s3://bucketName --profile=${PROFILE_NAME}

โดยที่PROFILE_NAME :

.bash_profile ( or .bashrc) -> export PROFILE_NAME="yourProfileName"

ดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีกำหนดค่าข้อมูลรับรองและหลายโปรไฟล์ได้ที่นี่

ฉันลองทำสิ่งต่อไปนี้:

aws s3 ls s3.console.aws.amazon.com/s3/buckets/{bucket name}

สิ่งนี้ทำให้ฉันมีข้อผิดพลาด:

An error occurred (AccessDenied) when calling the ListObjectsV2 operation: Access Denied

การใช้แบบฟอร์มนี้ได้ผล:

aws s3 ls {bucket name}

ฉันกำลังเพิ่มคำตอบในทิศทางเดียวกับคำตอบที่ยอมรับ แต่มีความแตกต่างเล็กน้อย (สำคัญ) และเพิ่มรายละเอียดเพิ่มเติม

พิจารณาการกำหนดค่าด้านล่าง:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": ["arn:aws:s3:::<Bucket-Name>"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:DeleteObject"
      ],
      "Resource": ["arn:aws:s3:::<Bucket-Name>/*"]
    }
  ]
}

นโยบายให้สิทธิ์การเข้าถึงการเขียน - ลบแบบเป็นโปรแกรมและแยกออกเป็นสองส่วน:
การListBucketดำเนินการให้สิทธิ์ในระดับที่เก็บข้อมูลและการPutObject/DeleteObjectดำเนินการอื่น ๆต้องการสิทธิ์ในออบเจ็กต์ภายในที่เก็บข้อมูล

องค์ประกอบทรัพยากรแรกระบุarn:aws:s3:::<Bucket-Name>สำหรับการListBucketดำเนินการเพื่อให้แอปพลิเคชันสามารถแสดงรายการวัตถุทั้งหมดในที่เก็บข้อมูล

องค์ประกอบทรัพยากรที่สองระบุarn:aws:s3:::<Bucket-Name>/*สำหรับPutObjectและDeletObjectการดำเนินการเพื่อให้แอปพลิเคชันสามารถเขียนหรือลบวัตถุใด ๆ ในที่เก็บข้อมูล

การแยกออกเป็นสอง 'arns' ที่แตกต่างกันมีความสำคัญจากเหตุผลด้านความปลอดภัยเพื่อระบุสิทธิ์แบบละเอียดระดับที่เก็บข้อมูลและระดับออบเจ็กต์

สังเกตว่าถ้าฉันจะระบุGetObjectในบล็อกที่ 2 สิ่งที่จะเกิดขึ้นคือในกรณีของการเข้าถึงแบบเป็นโปรแกรมฉันจะได้รับข้อผิดพลาดเช่น:

Upload failed: <file-name> to <bucket-name>:<path-in-bucket> An error occurred (AccessDenied) when calling the PutObject operation: Access Denied.

พบปัญหาที่คล้ายกันสำหรับฉันปัญหาคือฉันตั้งค่าคีย์ AWS ที่แตกต่างกันใน bash_profile ของฉัน

ฉันตอบคำถามที่คล้ายกันที่นี่: https://stackoverflow.com/a/57317494/11871462

หากคุณมีคีย์ AWS ที่ขัดแย้งกันใน bash_profile ของคุณ AWS CLI จะตั้งค่าเริ่มต้นเป็นคีย์เหล่านี้แทน

ฉันประสบปัญหานี้ตามความต้องการของฉันฉันต้องการอนุญาตให้ผู้ใช้เขียนไปยังเส้นทางที่ระบุ

{
            "Sid": "raspiiotallowspecificBucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::<bucketname>/scripts",
                "arn:aws:s3:::<bucketname>/scripts/*"
            ]
        },

และปัญหาได้รับการแก้ไขด้วยการเปลี่ยนแปลงนี้

{
            "Sid": "raspiiotallowspecificBucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::<bucketname>",
                "arn:aws:s3:::<bucketname>/*"
            ]
        },