Что вызывает отказ в доступе при использовании aws cli для загрузки с Amazon S3?

57

В AWS я действительно слоняюсь, пытаясь понять, чего мне здесь не хватает. Я хотел бы сделать так, чтобы пользователь IAM мог загружать файлы из корзины S3 - не делая их полностью открытыми - но мне отказывают в доступе. Если кто-то может заметить, что выключено, я буду топить.

Что я сделал до сих пор:

Создан пользователь my-user (для примера)
Сгенерировал ключи доступа для пользователя и поместил их в ~ / .aws на экземпляре EC2
Создана политика корзины, которая, как я надеялся, предоставляет доступ моему пользователю
Управлял командой aws s3 cp --profile my-user s3://my-bucket/thing.zip .

Политика ковша:

{
  "Id": "Policy1384791162970",
  "Statement": [
    {
      "Sid": "Stmt1384791151633",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::my-bucket/*",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:user/my-user"
      }
    }
  ]
}

В результате A client error (AccessDenied) occurred: Access Deniedя могу скачать, используя ту же команду и ключи доступа по умолчанию (root account?).

Я также попытался добавить политику пользователя. Хотя я не знаю, зачем это нужно, я подумал, что это не повредит, поэтому я прикрепил это к своему пользователю.

{
  "Statement": [
    {
      "Sid": "Stmt1384889624746",
      "Action": "s3:*",
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::my-bucket/*"
    }
  ]
}

Те же результаты.

amazon-s3 aws-cli

— Джош Ганьон
источник

39

Я тоже боролся с этим, но нашел здесь ответ https://stackoverflow.com/a/17162973/1750869, который помог мне решить эту проблему. Перепост ответ ниже.

Вам не нужно открывать разрешения для всех. Используйте приведенные ниже политики Bucket для источника и назначения для копирования из корзины в одной учетной записи в другую с использованием пользователя IAM.

Bucket для копирования из - SourceBucket

Bucket для копирования - DestinationBucket

Исходный идентификатор учетной записи AWS - XXXX – XXXX-XXXX

Исходный пользователь IAM - src – iam-user

Приведенная ниже политика означает - пользователь IAM - XXXX – XXXX-XXXX: src – iam-user имеет привилегии s3: ListBucket и s3: GetObject для SourceBucket / * и s3: ListBucket и s3: PutObject для DestinationBucket / *

На SourceBucket политика должна быть такой:

{
"Id": "Policy1357935677554",
"Statement": [
    {
        "Sid": "Stmt1357935647218",
        "Action": [
            "s3:ListBucket"
        ],
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::SourceBucket",
        "Principal": {"AWS": "arn:aws:iam::XXXXXXXXXXXX:user/src–iam-user"}
    },
    {
        "Sid": "Stmt1357935676138",
        "Action": ["s3:GetObject"],
        "Effect": "Allow",
        "Resource": "arn:aws:s3::: SourceBucket/*",
        "Principal": {"AWS": "arn:aws:iam::XXXXXXXXXXXX:user/src–iam-user"}
   }
]
}

На DestinationBucket политика должна быть:

{
"Id": "Policy1357935677554",
"Statement": [
    {
        "Sid": "Stmt1357935647218",
        "Action": [
            "s3:ListBucket"
        ],
        "Effect": "Allow",
        "Resource": "arn:aws:s3::: DestinationBucket",
        "Principal": {"AWS": "arn:aws:iam::XXXXXXXXXXXX:user/src–iam-user"}
    },
    {
        "Sid": "Stmt1357935676138",
        "Action": ["s3:PutObject"],
        "Effect": "Allow",
        "Resource": "arn:aws:s3::: DestinationBucket/*",
        "Principal": {"AWS": "arn:aws:iam::XXXXXXXXXXXX:user/src–iam-user"}
   }
]
}

команда для запуска s3cmd cp s3://SourceBucket/File1 s3://DestinationBucket/File1

— Sergio
источник

1

Боже мой, ты мой герой. Мне просто не хватало разрешения ListBucket на уровне корзины. Я до сих пор не знаю, зачем мне нужен контейнер, чтобы извлечь из него объект, но ничего страшного. Может быть, это всего лишь причуда использования команды aws?

— Джош Ганьон

Да, это довольно странно. Можно подумать, что для проверки работоспособности будет достаточно иметь одну политику s3: * (какой бы небезопасной она ни была).

— Серхио

fml, 2 дня потрачены впустую для этого разрешения ListBucket. хороший улов

— чакке

Потратил много времени .. Это был нужный ответ. ListBucket - имя сегмента, GetObject - имя сегмента / *

— rsmoorthy

12

Когда я столкнулся с той же проблемой, оказалось, что для AWS требуется шифрование на стороне сервера. Итак, следующая команда успешно сработала для меня:

aws s3 cp test.txt s3://my-s3-bucket --sse AES256

— zjor
источник

3

Спасибо! В моем случае это было --sse aws:kmsиспользовать ведро «по умолчанию» ...

— Майкл Ю

Если вы используете ключ KMS, отличный от используемого по умолчанию, вам также необходимо передать его: тем не --sse-kms-key-id 0123-abc-etc менее, непонятная часть заключается в том, что для использования своего собственного ключа KMS необходимо иметь разрешение IAM, kms:GenerateDataKeyиначе вам все равно будет отказано в доступе.

— дигарок

Вопрос о загрузке .. вы делаете загрузку на зашифрованный S3, отсюда и требование к ключу.

— Ilhicas

4

Я бы не рекомендовал вариант «Любой аутентифицированный пользователь AWS», упомянутый Джеймсом.

Это добавляет ACL уровня сегмента, который позволяет любой учетной записи AWS (не только вашим пользователям IAM) перечислять / удалять / изменять acls для этого сегмента.

т.е. публичное чтение / запись для всех, кто имеет аккаунт aws.

— Андрей
источник

Вы проверяли это? У меня сложилось впечатление, что под учетной записью AWS на самом деле подразумевается любая организация, входящая в мою организацию, т. Е. Пользователь, экземпляр EC2, роль IAM, но не кто-то из другой учетной записи. Я могу ошибаться, и я отредактирую свой вклад и быстро проверю свои ведра, если это так. Благодарю.

— Джеймс Данмор

1

Ага. Получатель «Аутентифицированный пользователь» в списках ACL S3 означает все учетные записи AWS. Он обеспечивает выполнение подписанных запросов, но не более того. Вот ссылка: ссылка

— Андрей

3

Мне удалось это исправить без необходимости написания политик - в консоли S3 (веб-интерфейс) я выбрал корзину, а на вкладке разрешений - «Любой аутентифицированный пользователь AWS» и выписал все коробки.

ОБНОВЛЕНИЕ: как указано в комментариях «Любой прошедший проверку подлинности пользователь AWS» - это не просто пользователи в вашей учетной записи, это все пользователи, прошедшие проверку подлинности AWS, пожалуйста, используйте с осторожностью

— Джеймс Данмор
источник

Я полагаю, что это создает политику для вас. Отметив все галочки, вы получите ListBucket и т. Д. И многое другое.

— Джош Ганьон

Я уверен, что это - я просто знаю, что правила написания могут быть проблемой, эти флажки могут дать вам немного больше, но хорошее быстрое решение

— Джеймс Данмор

2

Даже если ваши политики IAM настроены правильно, вы все равно можете получить сообщение об ошибке, например, An error occurred (AccessDenied) when calling the <OPERATION-NAME> operation: Access Deniedиз-за требований MFA (многофакторной аутентификации) к вашим учетным данным. Это может застать вас врасплох, потому что, если вы уже вошли в консоль AWS, может показаться, что ваши учетные данные работают нормально, и сообщение об ошибке отказа в доступе от aws cli не особенно полезно.

Уже есть несколько хороших инструкций по настройке MFA с помощью aws cli:

По сути, вам нужно получить адрес вашего устройства MFA и отправить его вместе с кодом вашего устройства, чтобы получить временный токен.

— Марк Чакериан
источник

Ты спас мой день, братан!

— shintaroid

Да, это причина! Почему AWS не показал эту причину в выводе?

— tommy.qichang

0

Я просто включил веб-интерфейс и нажал на корзину, затем перешел к разрешениям и затем к политике. Когда я открыл его, я просто нажал «Удалить». Я сделал это, потому что я думаю, что это была конфигурация.

Я вернулся на главную страницу s3, затем нажал на ведро и попытался удалить его, и это сработало.

даже когда я сделал это с помощью aws-cli

$ aws s3 rb s3://bucket-name --force

Во всяком случае, это то, что сработало для меня. Политика разрешений мешает вам удалить корзину.

— Спенсер Дэвис
источник

0

Однажды я получил эту ошибку, просто пытаясь запустить:

aws s3 cp s3://[bucketName]/[fileName] .

в папке, где у меня не было разрешений. Это глупо, но прежде чем двигаться дальше, убедитесь, что вы являетесь владельцем папки, в которой находитесь!

— Джефф Дидерикс
источник

0

Проблема возникает, когда вы вставляете неверные имена ресурсов или объектов. У меня была та же проблема с boto3 (в моем случае это было неверное имя корзины)

— Юнуса
источник