Що спричинює відмову в доступі під час використання Aws cli для завантаження з Amazon S3?

Я дійсно махаю навколо AWS, намагаючись зрозуміти, чого мені тут не вистачає. Я хотів би зробити так, щоб користувач IAM міг завантажувати файли з відра S3 - не лише роблячи ці файли повністю загальнодоступними, - але мені доступ заборонено. Якщо хтось зможе помітити те, що немає, я буду приголомшений.

Що я робив до цього часу:

• Створив користувача під назвою мій користувач (заради прикладу)
• Створено ключі доступу для користувача та помістіть їх у ~ / .aws на екземплярі EC2
• Створив політику ковша, на яку я сподівався, що надає доступ моєму користувачеві
• Пробіг команду aws s3 cp --profile my-user s3://my-bucket/thing.zip .

Політика щодо відра:

{
  "Id": "Policy1384791162970",
  "Statement": [
    {
      "Sid": "Stmt1384791151633",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::my-bucket/*",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:user/my-user"
      }
    }
  ]
}

Результат, A client error (AccessDenied) occurred: Access Deniedхоча я можу завантажити, використовуючи ту саму команду та клавіші доступу за замовчуванням (root account?).

Я також спробував додати політику користувача. Хоча я не знаю, чому це потрібно, я думав, що це не зашкодить, тому я приєднав це до свого користувача.

{
  "Statement": [
    {
      "Sid": "Stmt1384889624746",
      "Action": "s3:*",
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::my-bucket/*"
    }
  ]
}

Ті ж результати.

Я теж боровся з цим, але я знайшов відповідь тут https://stackoverflow.com/a/17162973/1750869, який допоміг вирішити цю проблему для мене. Відновлення відповіді нижче.

Ви не повинні відкривати дозволи для всіх. Використовуйте наведені нижче політики Bucket щодо джерела та місця призначення для копіювання з відра в один обліковий запис до іншого за допомогою користувача IAM

Відро для копіювання з - SourceBucket

Відро для копіювання в - DestinationBucket

Джерело ідентифікатора акаунта AWS - XXXX – XXXX-XXXX

Джерело IAM User - src – iam-user

Нижченаведена політика означає - користувач IAM - XXXX – XXXX-XXXX: src – iam-користувач має s3: ListBucket і s3: привілеї GetObject на SourceBucket / * і s3: ListBucket і s3: привілеї PutObject на DestinationBucket / *

У SourceBucket політика повинна виглядати так:

{
"Id": "Policy1357935677554",
"Statement": [
    {
        "Sid": "Stmt1357935647218",
        "Action": [
            "s3:ListBucket"
        ],
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::SourceBucket",
        "Principal": {"AWS": "arn:aws:iam::XXXXXXXXXXXX:user/src–iam-user"}
    },
    {
        "Sid": "Stmt1357935676138",
        "Action": ["s3:GetObject"],
        "Effect": "Allow",
        "Resource": "arn:aws:s3::: SourceBucket/*",
        "Principal": {"AWS": "arn:aws:iam::XXXXXXXXXXXX:user/src–iam-user"}
   }
]
}

На DestinationBucket політикою має бути:

{
"Id": "Policy1357935677554",
"Statement": [
    {
        "Sid": "Stmt1357935647218",
        "Action": [
            "s3:ListBucket"
        ],
        "Effect": "Allow",
        "Resource": "arn:aws:s3::: DestinationBucket",
        "Principal": {"AWS": "arn:aws:iam::XXXXXXXXXXXX:user/src–iam-user"}
    },
    {
        "Sid": "Stmt1357935676138",
        "Action": ["s3:PutObject"],
        "Effect": "Allow",
        "Resource": "arn:aws:s3::: DestinationBucket/*",
        "Principal": {"AWS": "arn:aws:iam::XXXXXXXXXXXX:user/src–iam-user"}
   }
]
}

команда, яку потрібно запустити, - це s3cmd cp s3://SourceBucket/File1 s3://DestinationBucket/File1

Коли я зіткнувся з тією ж проблемою, виявилося, що AWS вимагає включення шифрування на стороні сервера. Отже, наступна команда для мене успішно працювала:

aws s3 cp test.txt s3://my-s3-bucket --sse AES256

Я б не рекомендував "будь-який аутентифікований користувач AWS", згаданий Джеймсом.

Це додає ACL на рівні відра, який дозволяє будь-якому обліковому запису AWS (не лише вашим користувачам IAM) перелічувати / видаляти / змінювати-acls для цього відра.

тобто публічне читання / запис для всіх, хто має обліковий запис Aws.

Мені вдалося це виправити без необхідності писати поліси - з консолі S3 (web ui) я вибрав відро і на вкладці дозволів вибрав "Будь-який аутентифікований користувач AWS" і видав усі прапорці.

ОНОВЛЕННЯ: як зазначено в коментарях "Будь-який аутентифікований користувач AWS" - це не лише користувачі у вашому обліковому записі, це все користувачі, які мають автентифікацію AWS, будь ласка, використовуйте з обережністю

Навіть якщо ваші політики IAM налаштовані правильно, ви все одно можете отримати помилку, наприклад, An error occurred (AccessDenied) when calling the <OPERATION-NAME> operation: Access Deniedчерез вимоги MFA (Multi-Factor Authentication) на своїх облікових даних. Вони можуть заставити вас під охороною, оскільки якщо ви вже увійшли в консоль AWS, виявиться, що ваші облікові дані працюють нормально, а повідомлення про відмову в дозволі від aws cli не особливо корисне.

Уже є кілька хороших інструкцій щодо того, як налаштувати MFA за допомогою aws cli:

• AWS - Аутентифікувати AWS CLI з MFA Token
• Переповнення стека - Як використовувати MFA з AWS CLI?

По суті, вам потрібно отримати адресу свого пристрою МЗС та надіслати його з кодом з вашого пристрою, щоб отримати тимчасовий маркер.

Я просто перейшов на webUI і натиснув на відро, потім перейшов до дозволів, а потім перейшов до політики. Коли я відкрив його, я просто натиснув видалити. Я зробив це для того, що я думаю, це була і конфігурація.

Я повернувся на головну сторінку s3, потім натиснув на відро і спробував його видалити, і воно спрацювало.

навіть коли я це робив за допомогою aws-cli

$ aws s3 rb s3://bucket-name --force  

У всякому разі, це те, що працювало для мене. Політика щодо дозволів не дозволяє вам видаляти відро.

Як тільки я отримав цю помилку, просто спробувавши запустити:

aws s3 cp s3://[bucketName]/[fileName] .

у папці, де у мене не було дозволів. Це нерозумно, але переконайтеся, що ви власник папки, в якій ви перебуваєте, перш ніж рухатися далі!

Проблема виникає, коли ви вставляєте недійсні імена ресурсів чи об'єктів. У мене була та сама проблема з boto3 (у моєму випадку це було недійсне ім'я відра)