3

我目前有一个 IAM 角色,其政策如下:

{
  "Version":"2008-10-17",
  "Statement": [
  {
    "Effect":"Allow",
    "Action":["s3:ListBucket"],
    "Resource":[
      "arn:aws:s3:::blah.example.com"
    ]
  },
  {
    "Effect":"Allow",
    "Action":["s3:GetObject", "s3:GetObjectAcl", "s3:ListBucket", "s3:PutObject", "s3:PutObjectAcl", "s3:DeleteObject"],
    "Resource":[
      "arn:aws:s3:::blah.example.com/prefix/"
    ]
  }
  ]
}

Boto 似乎要求存储桶的根目录上存在 ListBucket 权限才能执行 get_bucket 调用。如果我删除 Statement 数组中的第一个哈希, get_bucket('blah.example.com') 将失败。这是错误文本:

*** S3ResponseError: S3ResponseError: 403 Forbidden
<?xml 版本="1.0" 编码="UTF-8"?>
<Error><Code>AccessDenied</Code><Message>Access Denied</Message><RequestId>xxxx</RequestId><HostId>yyyy</HostId></Error>

有没有办法在仍然使用 boto 的同时将存储桶列表限制为某个前缀(例如“prefix/”)?

更新

为了让一切正常工作,我使用了以下策略:

{
  "Version":"2008-10-17",
  "Statement": [
  {
    "Effect":"Allow",
    "Action":["s3:ListBucket"],
    "Resource":[
      "arn:aws:s3:::blah.example.com"
    ],
    "Condition":{
      "StringLike":{
         "s3:prefix":"prefix/*"
      }
    }
  },
  {
    "Effect":"Allow",
    "Action":["s3:GetObject", "s3:GetObjectAcl", "s3:PutObject", "s3:PutObjectAcl", "s3:DeleteObject"],
    "Resource":[
      "arn:aws:s3:::blah.example.com/prefix/*"
    ]
  }
  ]
}

您仍然必须使用该方法的validate=False参数get_bucket,但它允许在前缀中列出。

4

1 回答 1

5

默认情况下,boto 尝试通过对存储桶执行 LIST 操作来验证存储桶的存在,并要求零结果。如果您希望它跳过此验证步骤,只需像这样调用它:

>>> import boto
>>> s3 = boto.connect_s3()
>>> bucket = s3.get_bucket('mybucket', validate=False)

这应该跳过 LIST 操作。

于 2012-07-13T21:47:01.270 回答