我得到:

在调用ListObjects操作时发生错误(AccessDenied): AccessDenied

当我试图从S3存储桶中获取文件夹时。

使用该命令:

aws s3 cp s3://bucket-name/data/all-data/ . --recursive

桶的IAM权限如下所示:

{
"Version": "version_id",
"Statement": [
    {
        "Sid": "some_id",
        "Effect": "Allow",
        "Action": [
            "s3:*"
        ],
        "Resource": [
            "arn:aws:s3:::bucketname/*"
        ]
    }
] }

我需要改变什么才能成功复制和ls ?


当前回答

如果需要复制所有s3桶对象,请使用“aws s3 cp s3://bucket-name/data/all-data/”命令。正如你提到的,这里有一个安全且最小的策略来做到这一点:

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:ListBucket"
          ],
          "Resource": [
              "arn:aws:s3:::bucket-name"
          ],
          "Condition": {
              "StringLike": {
                  "s3:prefix": "data/all-data/*"
              }
          }
      },
      {
          "Effect": "Allow",
          "Action": [
              "s3:GetObject"
          ],
          "Resource": [
              "arn:aws:s3:::bucket-name/data/all-data/*"
          ]
      }
  ]
}

此策略中的第一个语句允许列出特定桶的子目录中的对象。该资源需要是S3存储桶的arn,为了将列表限制为该存储桶中的子目录,您可以编辑“S3:prefix”值。

此策略中的第二条语句允许在特定子目录的桶中获取对象。这意味着“s3://bucket-name/data/all-data/”路径中的任何内容都可以复制。请注意,这不允许你从父路径复制,如“s3://bucket-name/data/”。

此解决方案专门用于限制AWS CLI命令的使用;如果您需要通过AWS控制台或API限制S3访问,则需要更多策略。我建议大家去https://aws.amazon.com/blogs/security/writing-iam-policies-grant-access-to-user-specific-folders-in-an-amazon-s3-bucket/看看。

类似的问题可以在这里找到,这让我想到了我给出的解决方案。 https://github.com/aws/aws-cli/issues/2408

希望这能有所帮助!

其他回答

我得到了相同的错误时使用策略如下,虽然我有“s3:ListBucket”s3:ListObjects操作。

{
"Version": "2012-10-17",
"Statement": [
    {
        "Action": [
            "s3:ListBucket",
            "s3:GetObject",
            "s3:GetObjectAcl"
        ],
        "Resource": [
            "arn:aws:s3:::<bucketname>/*",
            "arn:aws:s3:::*-bucket/*"
        ],
        "Effect": "Allow"
    }
  ]
 }

然后我通过添加一行来修复它 “攻击:aws: s3::: bucketname”

{
"Version": "2012-10-17",
"Statement": [
    {
        "Action": [
            "s3:ListBucket",
            "s3:GetObject",
            "s3:GetObjectAcl"
        ],
        "Resource": [
             "arn:aws:s3:::<bucketname>",
            "arn:aws:s3:::<bucketname>/*",
            "arn:aws:s3:::*-bucket/*"
        ],
        "Effect": "Allow"
    }
 ]
}

您必须通过“arn:aws:s3:::bucketname”或“arn:aws:3:: bucketname*”为桶指定Resource。后者是首选,因为它也允许对桶的对象进行操作。注意这里没有斜杠!

列出对象是Bucket上的一个操作。因此,需要执行“s3:ListBucket”操作。 向Bucket中添加对象是object上的操作。因此,需要动作“s3:PutObject”。 当然,您可能希望根据需要添加其他操作。

{
"Version": "version_id",
"Statement": [
    {
        "Sid": "some_id",
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::bucketname*"
        ]
    }
] 
}

这不是最好的做法,但这将为你扫清障碍。 确保执行命令的用户在其权限下附加了以下策略。 答:PowerUserAccess b . AmazonS3FullAccess

我也面临着同样的问题。我刚刚添加了凭据配置:

aws_access_key_id = your_aws_access_key_id
aws_secret_access_key = your_aws_secret_access_key

进入“~ /。Aws /凭据”+重启终端默认配置文件。

在多配置文件的情况下——profile arg需要添加:

aws s3 sync ./localDir s3://bucketName --profile=${PROFILE_NAME}

PROFILE_NAME:

.bash_profile ( or .bashrc) -> export PROFILE_NAME="yourProfileName"

关于如何配置凭证和多配置文件的更多信息可以在这里找到

我的问题是凝固

env: 
  AWS_ACCESS_KEY_ID: {{ secrets.AWS_ACCESS_KEY_ID }} 
  AWS_SECRET_ACCESS_KEY: {{ secrets.AWS_SECRET_ACCESS_KEY }}

同样,在aws-sync GitHub Action下作为环境变量。它们来自我的GitHub设置。虽然在我的情况下,我假设了一个角色在前一步,这将设置我一些新的关键字到这些相同的名称环境变量。所以我用坏的GitHub基本键覆盖了好的假设键。

如果你在扮演角色,请注意这一点。