10

我有一个可以毫无问题地写入的存储桶。但是,当我尝试删除一个对象时,我得到一个错误......

AccessDeniedException in NamespaceExceptionFactory.php line 91

按照这里的非常基本的例子,我想出了这个命令......

$result = $s3->deleteObject(array(
                'Bucket' => $bucket,
                'Key'    => $keyname
            ));

我已经根据我发现的其他教程和问题尝试了这种变化。

$result = $s3->deleteObject(array(
                'Bucket' => $bucket,
                'Key'    => $keyname,
                'Content-Type'  => $contentType,
                'Content-Length' => 0
            ));

但一切都会产生同样的错误。有什么建议么?

4

2 回答 2

7

拥有写入权限(仅将数据写入 S3 的用户)和另一个用户的单独删除权限(以避免意外删除)是很常见的。

您可以检查您是否真的有权访问特定的存储桶操作,使用 iam get-role-policy API 查看您对尝试删除的角色拥有的权限。这是一个例子:

$ aws iam get-role-policy --role-name <<your-role-name>> --policy-name <<your-policy-name>>

{
    "RoleName": "myrolename,
    "PolicyDocument": {
        "Version": "yyyy-mm-dd",
        "Statement": [
            {
                "Action": [
                    "s3:AbortMultipartUpload",
                    "s3:DeleteObject",
                    "s3:Get*",
                    "s3:List*",
                    "s3:ListBucket",
                    "s3:PutObject*"
                ],
                "Resource": [
                    "arn:aws:s3:::bucket1/*",
                    "arn:aws:s3:::bucket2/*"                ],
                "Effect": "Allow",
                "Sid": "yyyy"
            }
        ]
    },
    "PolicyName": "mypolicyname"
}

最有可能在您的情况下,您可能没有该资源(桶/前缀)的“s3:DeleteObject”操作

于 2017-03-08T14:48:53.550 回答
3

用户可能能够在存储桶中创建对象并不一定意味着同一用户可以删除他/她可能已经创建的对象。

S3 权限可以在资源级别(桶/前缀)细化,您的角色可以采取的操作可能是一项或多项权限(请参阅:http ://docs.aws.amazon.com/AmazonS3/latest/dev /using-with-s3-actions.html )

看起来您拥有 s3:PutObject 权限,但没有 s3:DeleteObject。

于 2017-03-07T22:27:54.737 回答