2

我最近设置了一个 IAM 角色来访问具有以下策略的存储桶:

{
  "Statement": [
    {
      "Sid": "Stmt1359923112752",
      "Action": [
        "s3:*"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::<BUCKET_NAME>"
      ]
    }
  ]
}

虽然我可以很好地列出存储桶的内容,但当我调用get_contents_to_filename特定键时,我会收到boto.exception.S3ResponseError: S3ResponseError: 403 Forbidden异常。

是否需要添加角色权限才能从 S3 获取密钥?我检查了单个密钥的权限,似乎没有明确禁止其他用户访问的内容;只有一个权限授予所有者完全权限。

为了完整起见,我验证了删除上面的角色策略会完全阻止对存储桶的访问,因此应用的策略不是问题。

谢谢!

4

1 回答 1

2

您必须向存储桶中的对象授予权限,而不仅仅是对存储桶。所以你的资源必须是arn:aws:s3:::<bucketname>/*. 这匹配每个对象。

不幸的是,这与存储桶本身不匹配。因此,您要么需要授予与存储桶相关的权限arn:aws:s3:::<bucketname>和对象权限arn:aws:s3:::<bucketname>/*,要么只授予arn:aws:s3:::<bucketname>*. 尽管在后一种情况下,授予名为fred的存储桶的权限也会授予名为freddy的存储桶相同的权限。

于 2013-02-03T20:51:29.523 回答