CloudFront Origin Access Identity签名URL上传的文件无法通过boto3或IAM角色进行访问?

时间:2017-11-30 11:33:36

标签: amazon-web-services amazon-s3 amazon-cloudfront boto3

我跟随cloudfront docuement http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html#private-content-granting-permissions-to-oai获取私人文件。

存储桶策略如下所示:

{  
"Version": "2008-10-17",  
"Id": "PolicyForCloudFrontPrivateContent",  
"Statement": [  
    {  
        "Sid": "1",  
        "Effect": "Allow",  
        "Principal": {  
            "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity XXXXXXXXX"  
        },  
        "Action": "s3:*",  
        "Resource": "arn:aws:s3:::XXXXXX/*"  
    }  
]  
}

当我通过带有KEY PAIR的签名网址上传文件时。文件所有者是

Owner CloudFront Origin Access Identity *********

现在,我无法在ec2中使用boto3。命令

aws s3 cp s3::/xxx/uploadfile test.txt 

给我一​​个错误:

fatal error: An error occurred (403) when calling the HeadObject operation: Forbidden

我可以上传不使用已签名网址的文件。这些文件可以通过boto3访问。这些文件所有者是

 ****MyCountName***** 

所以我无法弄清楚为什么ec2机器无法领导origin access identity文件?

2 个答案:

答案 0 :(得分:3)

正如您所注意到的,当CloudFront Origin Access Identity(OAI)授权上传时,OAI是拥有该对象的实体 - 而不是您的帐户。

Owner CloudFront Origin Access Identity XXXX

OAI代表您独家控制的实体,但它们实际上并不属于您的AWS账户。

对象的所有权由授权上载的帐户确定,而不是拥有该存储桶的帐户。除上传帐户以外的帐户必须由拥有该对象的帐户授予权限。

x-amz-acl: bucket-owner-full-control

http://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html

您可以使用存储桶策略强制使用此标头。

如果您控制进行上传的客户端,则应该能够添加此标头。

如果您不控制客户端,应该能够使用Lambda @ Edge Viewer请求触发器添加它。我没有测试过这段代码,但它应该达到目的:

'use strict';

exports.handler = (event, context, callback) => {
  const request = event.Records[0].cf.request;
  if(request.method == 'PUT')
  {
    request.headers['x-amz-acl'] = [
      { key: 'x-amz-acl', value: 'bucket-owner-full-control' }
    ];
  }
  return callback(null, request);
};

答案 1 :(得分:0)

您是尝试将文件上传到S3还是从S3下载文件?因为您提到了这个命令 aws s3 cp s3 :: / xxx / uploadfile test.txt ,它下载的文件没有上传,这是 aws-cli 命令而不是boto3。< / p>

请在此处查看此文档 - http://docs.aws.amazon.com/cli/latest/reference/s3/cp.html