我有一个应用程序,可以将一些文件上传(复制)到另一个AWS账户中的S3存储桶中,我使用来自AWS开发工具包(Nodejs)的copyObject命令
var params = {
Bucket: "MyBucket_AccountB",
CopySource: encodeURI('/Accunt_A_Bocket/file.png'),
Key: "file.png",
ACL: 'bucket-owner-full-control'
};
s3.copyObject(params, function(err, datas) {
if (err) console.log(err, err.stack); // an error occurred
else console.log(datas); // successful response
});
此代码从另一个AWS帐户运行,AWS_ACCOUNT_A,文件上传到AWS_ACCOUNT_B的S3存储桶中,是将文件上传到此存储桶中时,此文件的所有权仍为AWS_ACCOUNT_A。
我想知道在上传文件时应该如何将文件所有权授予AWS_ACCOUNT_B。这里有人可以给我一些指导吗?
更新:
我使用了此政策:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::MY_ACCOUNT_B_ID:root"
},
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::MYBUCKET_IN_ACCOUNT_A",
"arn:aws:s3:::MYBUCKET_IN_ACCOUNT_A/*"
]
}
]
}
但是上载的文件仍归Account_A所有,我在政策中做错了什么吗?
答案 0 :(得分:3)
如果必须将文件从帐户A复制到帐户B,则在写入文件之前,应让帐户A在帐户B中担任角色。如果由于某种原因您不能在帐户B中扮演某个角色,那么可以设置访问权限以允许对存储桶拥有者进行完全控制:
aws s3 cp --acl bucket-owner-full-control localFile s3://bucketname/path/filename
存储桶拥有者可以使用以下规则来强制执行此要求:
{
"Sid": "CrossAccountWritePermissionsDenier",
"Effect": "Deny",
"Principal": {
"AWS": "arn-of-account-A-pusher"
},
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucketname/path/given/access/*",
"arn:aws:s3:::bucketname/other/path/given/access/*"
],
"Condition": {
"StringNotEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
此方法的一个警告是,如果您拥有一个帐户C(读取者),并且帐户B(存储桶拥有者)也被授予了帐户A(写入者)将文件推送到其中的路径的读取特权,则帐户C将无法读取帐户A推送的文件,因为它们实际上不是帐户B拥有的。这是您面临的问题。
如果在推送之前帐户A承担了帐户B的角色,则文件将由帐户B拥有,因此,帐户C将能够读取该文件。否则,帐户B将必须移动文件(因为帐户B具有完全访问权限),然后帐户C将能够在新位置读取文件。
理论上,您可以通过从存储桶所有者的角色将文件复制到自身来更改所有权:
aws s3 cp s3://bucketname/path/filename s3://bucketname/path/filename
但是,除非您要进行某些更改(例如所有者,元数据,acl等),否则它将不允许您执行此操作。因此,您只能从存储桶拥有者的角色执行此操作,而不能从原始(非存储桶拥有者)上传者的角色执行此操作。