当权限为S3时，AccessDenied for ListObjects for S3 bucket:*

我得到:

在调用ListObjects操作时发生错误(AccessDenied): AccessDenied

当我试图从S3存储桶中获取文件夹时。

使用该命令:

aws s3 cp s3://bucket-name/data/all-data/ . --recursive

桶的IAM权限如下所示:

{
"Version": "version_id",
"Statement": [
    {
        "Sid": "some_id",
        "Effect": "Allow",
        "Action": [
            "s3:*"
        ],
        "Resource": [
            "arn:aws:s3:::bucketname/*"
        ]
    }
] }

我需要改变什么才能成功复制和ls ?

当前回答

我无法访问S3，因为

首先，我在实例上配置了密钥访问(在启动后不可能附加角色) 先把这事忘了几个月将角色附加到实例尝试访问。配置的密钥优先级高于role，由于没有授予用户必要的S3权限，因此拒绝访问。

解决方案:rm -rf .aws/credentials，那么aws使用role。

2017-03-30 20:05:17

其他回答

我添加了一个与公认答案方向相同的答案，但有小的(重要的)差异，并添加了更多的细节。

考虑下面的配置:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": ["arn:aws:s3:::<Bucket-Name>"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:DeleteObject"
      ],
      "Resource": ["arn:aws:s3:::<Bucket-Name>/*"]
    }
  ]
}

该策略授予编程式写-删除访问权，并分为两部分: ListBucket操作提供了桶级别的权限，而其他PutObject/DeleteObject操作需要桶内对象的权限。

第一个Resource元素为ListBucket操作指定arn:aws:s3:::< bucket - name >，以便应用程序可以列出桶中的所有对象。

第二个Resource元素为PutObject指定arn:aws:s3:::< bucket - name >/*和DeletObject操作，以便应用程序可以写入或删除桶中的任何对象。

从安全角度考虑，为了指定桶级和对象级细粒度权限，将它们分离为两个不同的“arn”非常重要。

注意，如果我只在第二个块中指定GetObject，那么在编程访问的情况下，我将收到类似这样的错误:

Upload failed: <file-name> to <bucket-name>:<path-in-bucket>调用PutObject操作时发生错误(AccessDenied): AccessDenied。

2020-05-28 00:42:54

要允许s3桶中的权限，请进入s3桶中的permissions选项卡，并在桶策略中将操作更改为this，这将允许执行所有操作:

"Action":"*"

2020-12-01 18:05:11

我有这个问题我的要求，我想让用户写入特定的路径

{
            "Sid": "raspiiotallowspecificBucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::<bucketname>/scripts",
                "arn:aws:s3:::<bucketname>/scripts/*"
            ]
        },

这个改变解决了问题

{
            "Sid": "raspiiotallowspecificBucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::<bucketname>",
                "arn:aws:s3:::<bucketname>/*"
            ]
        },

2020-02-02 20:59:29

这是一个对我有用的策略。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::bucket-name"
      ]
    },
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucket-name/*"
      ]
    }
  ]
}

2021-07-13 00:35:59

如果在minio的新版本上突然出现这个错误，那么原因是桶访问策略默认值从2021版本更改为2022版本。现在在2022版本中，默认情况下所有的桶(新创建的和现有的)都将访问策略设置为私有-仅提供服务器凭据来访问它们是不够的-你仍然会得到如下错误(这里:返回到python minio客户端):

S3Error: S3 operation failed; code: AccessDenied, message: Access Denied., resource: /dicts, request_id: 16FCBE6EC0E70439, host_id: 61486e5a-20be-42fc-bd5b-7f2093494367, bucket_name: dicts

要在2022版本中回滚到以前的安全设置，最快的方法是在MinIO控制台中(或通过mc客户端)将桶访问访问策略更改为Public。

2022-06-28 09:52:53

当权限为S3时，AccessDenied for ListObjects for S3 bucket:*

推荐文章

最新文章

标签