Tal*_*rry 10 amazon-s3 amazon-ec2 amazon-web-services amazon-iam
我们希望在S3上存储一些数据,并且只允许EC2实例或具有特定IAM角色的特定用户访问它们.不幸的是,我们在这方面遇到了一些麻烦.
我们就像这样在桶上制定政策
{
"Version": "2012-10-17",
"Id": "SamplePolicy",
"Statement": [
{
"Sid": "Stmt1331136294179",
"Effect": "Deny",
"NotPrincipal": {
"AWS": [
"arn:aws:iam::our-account-number:user/the-user",
"arn:aws:iam::our-account-number:role/the-role"
]
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::the-bucket/*"
},
{
"Sid": "Stmt1331136364169",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::our-account-number:user/the-user",
"arn:aws:iam::our-account-number:role/the-role"
]
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::the-bucket/*"
}
]}
当我们使用用户密钥访问Bucket(使用boto)时,它可以在本地计算机或任何EC2实例中正常工作.
但是,当我们从Boto访问桶时,我们得到了
ClientError:调用GetObject操作时发生错误(AccessDenied):拒绝访问
我已经确认该实例具有正确的IAM角色
curl http://169.254.169.254/latest/meta-data/iam/info/
{
"Code" : "Success",
"LastUpdated" : "2015-10-22T09:09:31Z",
"InstanceProfileArn" : "our-account-number:instance-profile/the-role",
"InstanceProfileId" : "instance-rpofile-id"
}
我还尝试从存储桶中删除该策略,这确实使其可以再次访问.任何想法如何处理这个?
我在这里分享的示例是我为调试而做的简化版本.在生产中,我们希望强制使用KMS加密对象,并在密钥上也有访问策略.我们非常喜欢这个解决方案,如果可以,我们更愿意保留它.
谢谢
小智 5
我做过多次的一个错误就是你的ARN
对于某些权限,您需要在存储桶本身(没有/*)...以及您需要的一些权限的内容.
我试图使用你现在拥有的东西,只包括两者,所以像...
"Resource": ["arn:aws:s3:::the-bucket/*", "arn:aws:s3:::the-bucket"]
| 归档时间: |
|
| 查看次数: |
1214 次 |
| 最近记录: |