S3ResponseError:403禁止使用Boto

时间:2015-07-22 16:07:56

标签: python amazon-web-services amazon-s3 boto

当我尝试在Python中使用BOTO访问某些文件时,我在S3存储桶上存在权限问题。以下是存储桶策略:

{
    "Version": "2008-10-17",
    "Id": "Policy1407346649831",
    "Statement": [
        {
            "Sid": "Stmt1407346646598",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::029030651757:user/my_iam_user"
            },
            "Action": "s3:*",
            "Resource": ["arn:aws:s3:::my_bucket/*",
                         "arn:aws:s3:::my_bucket"]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity EFUS443HMBYF"
            },
            "Action": "s3:GetObject",
            "Resource": ["arn:aws:s3:::my_bucket/*",
                         "arn:aws:s3:::my_bucket"]
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity EFUS443HMBYF"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::my_bucket/*"
        }
    ]
}

我有3个陈述。第一个是授权用户my_iam_user访问存储桶my_bucket,第二个是授权Cloudfront发行版读取存储桶,最后一个是授权Cloudfront发行版写入桶。

现在我必须在我的广告素材profile_pictures/15/file1.jpgprofile_pictures/15/file2.jpg上添加文件。第一个是使用签名的URL和CloudFront创建的,第二个是使用Boto放在S3上的。现在我尝试使用Boto访问文件。这是我的代码:

import boto
from boto.s3.key import Key

s3 = boto.connect_s3(
    aws_access_key_id="access_key_of_my_iam_user",
    aws_secret_access_key="secret_key_of_my_iam_user"
)
bucket = s3.get_bucket("my_bucket", validate=False)

k1 = Key(bucket)
k1.key = "profile_pictures/15/file1.jpg"
k1.get_contents_as_string()


k2 = Key(bucket)
k2.key = "profile_pictures/15/file2.jpg"
k2.get_contents_as_string()

问题是对file1的访问会返回错误:

S3ResponseError: S3ResponseError: 403 Forbidden
<?xml version="1.0" encoding="UTF-8"?>
<Error><Code>AccessDenied</Code><Message>Access Denied</Message><RequestId>8C5DE910C7B18F9E</RequestId><HostId>XiKU5Q+B0Wme3GpUNmUoD9KpUN63T3bFu/rAb/wh3rhDMkykoRsdQIFgyIp8zfAwMR1apbqUEFY=</HostId></Error>

而第二个是成功的。可能有什么不对?

注意:运行代码的客户端上的时间很长。

2 个答案:

答案 0 :(得分:3)

即使IAM用户已被第一个策略授予对存储桶的完全访问权限,他们仍然无法自动访问file1,因为他们不是该对象的所有者(Cloudfront是)并且他们拥有未被授予对对象的显式访问权限。此外,据推测,IAM用户也不是存储桶的所有者。

如果查看Example 1 on this page,您将看到几乎相同的情况,并进一步解释如何使用对象上下文来确定是否授予或拒绝请求。

答案 1 :(得分:0)

您将无法访问存储桶&#34; my-bucket&#34; ..

在整个S3生态系统中,存储桶名称必须是唯一的。

如果您尝试访问唯一的存储桶名称,例如&#34; MY_UNIQUE_ORG_NAME-MY_UNIQUE_BUCKET_NAME&#34;你可能会有更好的运气..