“aws s3 ls”和“aws s3api list-objects”的不同行为

时间:2013-12-05 07:14:28

标签: amazon-web-services amazon-s3 bucket amazon-iam

我看到 aws s3 ls aws s3api list-buckets

的不同行为

这是第一个:

$ aws s3 ls s3://demo.for.customers

Bucket: demo.for.customers
Prefix: 

      LastWriteTime     Length Name
      -------------     ------ ----
                           PRE 5CE4D191-FD14-4C85-8146-9FB8C29B7A7B/
                           PRE FFBC4675-F864-40E9-8AB8-BDF7A0437010/

所以,我能够列出桶内的对象 demo.for.customers

现在,当我使用 s3api 运行同样的事情时,我被拒绝访问:

$ aws s3api list-objects --bucket demo.for.customers
A client error (AccessDenied) occurred: Access Denied

问题:为什么我通过s3api拒绝列出对象的访问权限。

我提出这个问题的原因是,如果我使用 AWS S3 Ruby SDK ,我会遇到同样的问题。

然而,当我使用 aws s3 ls 时,情况很好。

因此 AWS S3 Ruby SDK aws s3api 表现出相同的行为。所以,我这里只粘贴 aws s3api CLI 问题。

BTW,这是已应用于运行上述所有命令的用户的IAM策略:

{
  "Statement": [
    {
      "Action": [
        "s3:ListAllMyBuckets",
        "s3:GetBucketLocation"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::"
      ]
    },
    {
      "Action": [
        "s3:ListBucket"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::demo.for.customers"
      ],
      "Condition": {
        "StringEquals": {
          "s3:prefix": [
            "",
            "FFBC4675-F864-40E9-8AB8-BDF7A0437010/"
          ],
          "s3:delimiter": [
            "/"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetObject",
        "s3:DeleteObject"
      ],
      "Resource": [
        "arn:aws:s3:::demo.for.customers/FFBC4675-F864-40E9-8AB8-BDF7A0437010/"
      ]
    }
  ]
}

这是 ruby​​ 代码,它产生完全相同的错误; 

#!/usr/bin/ruby

require 'aws-sdk'
require 'awesome_print'
AWS.config( :access_key_id      => 'whatever', 
            :secret_access_key  => 'again whatever',
            :region             => 'us-west-2')

s3 = AWS.s3
buckets = s3.client.list_objects(:bucket_name => "demo.for.customers")
ap buckets

,输出为:

# ruby s3policies.rb 
/var/lib/gems/1.9.1/gems/aws-sdk-1.14.1/lib/aws/core/client.rb:366:in `return_or_raise': Access Denied (AWS::S3::Errors::AccessDenied)

2 个答案:

答案 0 :(得分:4)

根据您定义的角色,对list-objects的调用需要Prefix和Delimiter。

以下命令适用于您:

aws s3api list-objects --bucket demo.for.customers --prefix "" --delimiter "/"

如果您在ListBucket政策中删除了分隔符条件,那么这将适合您:

aws s3api list-objects --bucket demo.for.customers --prefix ""

如果您还删除了前缀条件,那么这对您有用:

aws s3api list-objects --bucket demo.for.customers

测试上述内容的一个好方法是复制您的角色策略并逐步删除条件,直到它按预期运行。

答案 1 :(得分:-2)

确保从运行此位置的位置(目录)中设置了正确的权限。

目录应具有正确的所有权(所有者应该是运行此实用程序的用户而不是root用户或任何其他用户)并且具有足够的权限来创建目录。

相关问题
最新问题