Code
2025-02-06 10:00:03

当权限为S3时,AccessDenied for ListObjects for S3 bucket:*

我得到:

在调用ListObjects操作时发生错误(AccessDenied): AccessDenied

当我试图从S3存储桶中获取文件夹时。

使用该命令:

aws s3 cp s3://bucket-name/data/all-data/ . --recursive

桶的IAM权限如下所示:

{
"Version": "version_id",
"Statement": [
    {
        "Sid": "some_id",
        "Effect": "Allow",
        "Action": [
            "s3:*"
        ],
        "Resource": [
            "arn:aws:s3:::bucketname/*"
        ]
    }
] }

我需要改变什么才能成功复制和ls ?

当前回答

这不是最好的做法,但这将为你扫清障碍。 确保执行命令的用户在其权限下附加了以下策略。 答:PowerUserAccess b . AmazonS3FullAccess

2022-09-24 05:42:53

其他回答

我认为错误是由于“s3:ListObjects”操作,但我不得不添加操作“s3:ListBucket”来解决“AccessDenied for ListObjects for s3 bucket”的问题

2018-12-14 01:44:28

我添加了一个与公认答案方向相同的答案,但有小的(重要的)差异,并添加了更多的细节。

考虑下面的配置:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": ["arn:aws:s3:::<Bucket-Name>"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:DeleteObject"
      ],
      "Resource": ["arn:aws:s3:::<Bucket-Name>/*"]
    }
  ]
}

该策略授予编程式写-删除访问权,并分为两部分: ListBucket操作提供了桶级别的权限,而其他PutObject/DeleteObject操作需要桶内对象的权限。

第一个Resource元素为ListBucket操作指定arn:aws:s3:::< bucket - name >,以便应用程序可以列出桶中的所有对象。

第二个Resource元素为PutObject指定arn:aws:s3:::< bucket - name >/*和DeletObject操作,以便应用程序可以写入或删除桶中的任何对象。

从安全角度考虑,为了指定桶级和对象级细粒度权限,将它们分离为两个不同的“arn”非常重要。

注意,如果我只在第二个块中指定GetObject,那么在编程访问的情况下,我将收到类似这样的错误:

Upload failed: <file-name> to <bucket-name>:<path-in-bucket>调用PutObject操作时发生错误(AccessDenied): AccessDenied。

2020-05-28 00:42:54

这是一个对我有用的策略。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::bucket-name"
      ]
    },
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucket-name/*"
      ]
    }
  ]
}
2021-07-13 00:35:59

这不是最好的做法,但这将为你扫清障碍。 确保执行命令的用户在其权限下附加了以下策略。 答:PowerUserAccess b . AmazonS3FullAccess

2022-09-24 05:42:53

如果需要复制所有s3桶对象,请使用“aws s3 cp s3://bucket-name/data/all-data/”命令。正如你提到的,这里有一个安全且最小的策略来做到这一点:

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:ListBucket"
          ],
          "Resource": [
              "arn:aws:s3:::bucket-name"
          ],
          "Condition": {
              "StringLike": {
                  "s3:prefix": "data/all-data/*"
              }
          }
      },
      {
          "Effect": "Allow",
          "Action": [
              "s3:GetObject"
          ],
          "Resource": [
              "arn:aws:s3:::bucket-name/data/all-data/*"
          ]
      }
  ]
}

此策略中的第一个语句允许列出特定桶的子目录中的对象。该资源需要是S3存储桶的arn,为了将列表限制为该存储桶中的子目录,您可以编辑“S3:prefix”值。

此策略中的第二条语句允许在特定子目录的桶中获取对象。这意味着“s3://bucket-name/data/all-data/”路径中的任何内容都可以复制。请注意,这不允许你从父路径复制,如“s3://bucket-name/data/”。

此解决方案专门用于限制AWS CLI命令的使用;如果您需要通过AWS控制台或API限制S3访问,则需要更多策略。我建议大家去https://aws.amazon.com/blogs/security/writing-iam-policies-grant-access-to-user-specific-folders-in-an-amazon-s3-bucket/看看。

类似的问题可以在这里找到,这让我想到了我给出的解决方案。 https://github.com/aws/aws-cli/issues/2408

希望这能有所帮助!

2017-08-02 18:49:58

推荐文章

aliyun

最新文章

标签

2025 code 京ICP备15047053号-1