我得到:
在调用ListObjects操作时发生错误(AccessDenied): AccessDenied
当我试图从S3存储桶中获取文件夹时。
使用该命令:
aws s3 cp s3://bucket-name/data/all-data/ . --recursive
桶的IAM权限如下所示:
{
"Version": "version_id",
"Statement": [
{
"Sid": "some_id",
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::bucketname/*"
]
}
] }
我需要改变什么才能成功复制和ls ?
当前回答
我的问题是凝固
env:
AWS_ACCESS_KEY_ID: {{ secrets.AWS_ACCESS_KEY_ID }}
AWS_SECRET_ACCESS_KEY: {{ secrets.AWS_SECRET_ACCESS_KEY }}
同样,在aws-sync GitHub Action下作为环境变量。它们来自我的GitHub设置。虽然在我的情况下,我假设了一个角色在前一步,这将设置我一些新的关键字到这些相同的名称环境变量。所以我用坏的GitHub基本键覆盖了好的假设键。
如果你在扮演角色,请注意这一点。
其他回答
我也面临着同样的问题。我刚刚添加了凭据配置:
aws_access_key_id = your_aws_access_key_id
aws_secret_access_key = your_aws_secret_access_key
进入“~ /。Aws /凭据”+重启终端默认配置文件。
在多配置文件的情况下——profile arg需要添加:
aws s3 sync ./localDir s3://bucketName --profile=${PROFILE_NAME}
PROFILE_NAME:
.bash_profile ( or .bashrc) -> export PROFILE_NAME="yourProfileName"
关于如何配置凭证和多配置文件的更多信息可以在这里找到
我得到了相同的错误时使用策略如下,虽然我有“s3:ListBucket”s3:ListObjects操作。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetObjectAcl"
],
"Resource": [
"arn:aws:s3:::<bucketname>/*",
"arn:aws:s3:::*-bucket/*"
],
"Effect": "Allow"
}
]
}
然后我通过添加一行来修复它 “攻击:aws: s3::: bucketname”
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetObjectAcl"
],
"Resource": [
"arn:aws:s3:::<bucketname>",
"arn:aws:s3:::<bucketname>/*",
"arn:aws:s3:::*-bucket/*"
],
"Effect": "Allow"
}
]
}
如果在minio的新版本上突然出现这个错误,那么原因是桶访问策略默认值从2021版本更改为2022版本。现在在2022版本中,默认情况下所有的桶(新创建的和现有的)都将访问策略设置为私有-仅提供服务器凭据来访问它们是不够的-你仍然会得到如下错误(这里:返回到python minio客户端):
S3Error: S3 operation failed; code: AccessDenied, message: Access Denied., resource: /dicts, request_id: 16FCBE6EC0E70439, host_id: 61486e5a-20be-42fc-bd5b-7f2093494367, bucket_name: dicts
要在2022版本中回滚到以前的安全设置,最快的方法是在MinIO控制台中(或通过mc客户端)将桶访问访问策略更改为Public。
我遇到了同样的错误“在调用ListObjectsV2操作时发生了错误(AccessDenied):访问被拒绝”
注意: 桶策略不是一个好的解决方案。 在IAM服务中创建新的自定义策略,附加到各自的用户将更安全。
按以下程序求解:
IAM Service > Policies > Create Policy > select JSON > .使用实例
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:ListBucketVersions"
],
"Resource": [
"arn:aws:s3:::<bucket name>"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:PutObject",
"s3:DeleteObject",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:PutObjectACL",
"s3:ListBucketVersions"
],
"Resource": [
"arn:aws:s3:::<bucketname>/*"
]
}
]
}
选择Next Tag > Review Policy输入并创建策略。
选择新创建的策略 在新创建的策略窗口的编辑窗口中选择“Policy Usage”选项卡。 选择“附加”,从列表中选择用户并保存。
现在尝试在控制台用桶名列出对象,没有桶名会抛出相同的错误。
$aws s3 ls
要允许s3桶中的权限,请进入s3桶中的permissions选项卡,并在桶策略中将操作更改为this,这将允许执行所有操作:
"Action":"*"
