Я завантажив деякі файли за допомогою консолі керування Amazon AWS.
Я отримав повідомлення про HTTP 403 Access deniedпомилку. Я з’ясував, що мені потрібно встановити дозвіл view.
Як я можу це зробити для всіх файлів у відрі?
Я знаю, що можна встановити дозвіл для кожного файлу, але це вимагає багато часу, коли є багато файлів, які мають бути доступними для перегляду для всіх.
Відповіді:
Я пропоную вам застосувати політику сегмента 1 до сегмента, де ви хочете зберігати загальнодоступний вміст. Таким чином, вам не потрібно встановлювати ACL для кожного об’єкта. Ось приклад політики, яка зробить усі файли у відрі mybucket загальнодоступними.
{
"Version": "2008-10-17",
"Id": "http better policy",
"Statement": [
{
"Sid": "readonly policy",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::mybucket/sub/dirs/are/supported/*"
}
]
}
Це *в "Resource": "arn:aws:s3:::mybucket/sub/dirs/are/supported/*"дозволяє рекурсії.
1 Зауважте, що політика сегмента відрізняється від політики IAM. (Для одного ви отримаєте повідомлення про помилку, якщо спробуєте включити його Principalв політику IAM.) Політику сегмента можна відредагувати, перейшовши до кореня сегмента на веб-консолі AWS і розгорнувши Властивості> Дозволи. Підкаталоги сегмента також мають Властивості> Дозволи, але немає можливостіEdit bucket policy
Ви можете вибрати каталог, який ви хочете, щоб він був загальнодоступним.
Натисніть "більше" та позначте його як загальнодоступний; це зробить каталог та всі файли доступними як загальнодоступні.
Ви можете змінювати списки контролю доступу лише для унікального предмета (відро чи предмет), тому вам доведеться міняти їх по одному.
Деякі програми управління S3 дозволяють застосовувати один і той же ACL до всіх елементів у сегменті, але внутрішньо він застосовує ACL до кожного по одному.
Якщо ви завантажуєте файли програмно, важливо вказати ACL під час завантаження файлу, тому вам не доведеться змінювати його пізніше. Проблема використання програми управління S3 (наприклад, Cloudberry, Transmit, ...) полягає в тому, що більшість із них використовує ACL за замовчуванням (приватне лише для читання) під час завантаження кожного файлу.
Я використав Cloudberry Explorer, щоб зробити цю роботу :)
За допомогою браузера S3 ви можете оновлювати дозволи за допомогою графічного інтерфейсу, також рекурсивно. Це корисний інструмент і безкоштовний для некомерційного використання.
Ви можете встановити ACL для кожного файлу, використовуючи aws cli:
BUCKET_NAME=example
BUCKET_DIR=media
NEW_ACL=public-read
aws s3 ls $BUCKET_NAME/$BUCKET_DIR/ | \
awk '{$1=$2=$3=""; print $0}' | \
xargs -t -I _ \
aws s3api put-object-acl --acl $NEW_ACL --bucket $BUCKET_NAME --key "$BUCKET_DIR/_"
boto3'ObjectAcl' або точніше, S3.ObjectAcl.putщо призведе до чогось легшого для читання.
У мене була така сама проблема під час завантаження файлів через програму (java) у відро s3 ..
Помилка: на запитаному ресурсі немає заголовка 'Access-Control-Allow-Origin'.
Таким чином, походження ' http: // localhost: 9000 ' не має доступу. Відповідь мала код стану HTTP 403
Я додав ідентифікатор джерела та змінив політику сегмента та конфігурацію CORS, тоді все працювало нормально.
Я хотів додати це тут для потенційних користувачів macOS, які вже мають прекрасно створену програму FTP під назвою Transmit by Panic.
У мене вже був Panic, і він підтримує сегменти S3 (не знаю, в якій версії це вийшло, але я думаю, оновлення було безкоштовним). Він також підтримує рекурсивне оновлення дозволів на читання та запис.
Ви просто клацаєте правою кнопкою миші каталог, який ви хочете оновити, і вибираєте дозволи на читання та запис, для яких ви хочете їх встановити.
Це не здається надзвичайно швидким, але ви можете відкрити файл журналу, перейшовши Window> Transcript, щоб ви принаймні знали, що він щось робить.
Щоб зробити більшу частину файлів загальнодоступною, виконайте такі дії:
Використовуйте генератор політик AWS, щоб створити політику, яка відповідає вашим потребам. Основним у генераторі політик повинен бути користувач / роль IAM, який ви використовували б для доступу до об’єктів. Ресурс ARN повинен бутиarn:aws:s3:::mybucket/sub/dirs/are/supported/*
Далі натисніть "Додати заяву" і виконайте подальші дії. Ви нарешті отримаєте JSON, що представляє політику. Вставте це у розділ керування політикою сегмента s3, який знаходиться на сторінці "сторінка сегмента s3 в AWS -> дозволи -> політика сегмента".