s3cmd因访问被拒绝而失败

时间:2015-05-18 22:03:14

标签: amazon-ec2 amazon-s3

我正在尝试将一些文件从我的EC2实例复制到S3并使用以下命令

s3cmd put datafile s3://mybucket/datafile

并收到以下错误

ERROR: S3 error: Access Denied

我有以下IAM政策

{
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "ec2:*",
            "s3:ListAllMyBuckets",
            "s3:ListBucket"
        ],
        "Resource": "*"
    }
]
}

mybucket的S3 Bucket Policy 

{
"Version": "2008-10-17",
"Id": "backupPolicy",
"Statement": [
    {
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::xxxxx:user/xxxx"
        },
        "Action": [
            "s3:ListBucket",
            "s3:PutObjectAcl",
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::mybucket/*",
            "arn:aws:s3:::mybucket"
        ]
    }
]
}

我不确定我做错了什么。 s3cmd ls s3://mybucket工作正常。

我尝试在SO上搜索此问题,但所有帖子基本上都要求您添加我已经拥有的IAM策略。

2 个答案:

答案 0 :(得分:1)

我认为除了List之外,你还需要拥有写入权限 for IAM 

{
"Version": "2012-10-17",
"Statement": [
{
    "Effect": "Allow",
    "Action": [
        "ec2:*",
        "s3:ListAllMyBuckets",
        "s3:ListBucket"
    ],
    "Resource": "*"
},
{
  "Sid": "Stmt1406613887001",
  "Effect": "Allow",
  "Action": [
    "s3:*"
  ],
  "Resource": [
    "arn:aws:s3:::mybucket",
    "arn:aws:s3:::mybucket/*"
  ]
}
]
}

答案 1 :(得分:1)

用户IAM策略需要读/写权限,而不是(仅)桶。 AWS将始终应用限制性更强的策略,并默认为隐式"拒绝"。

我发现存储桶策略更适合公共访问(即向全世界提供资产),而不是限制委托人。当您开始组合存储桶+用户策略时,会出现复杂情况,并且管理用户端通常要容易得多。

相关问题
最新问题