2

我必须使用带有boto3.

我创建了一个访问点,其策略允许读取和写入(<access_point_arn>是我的访问点ARN):

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": ["s3:GetObject", "s3:PutObject"],
            "Resource": "<access_point_arn>/object/*"
    ]
}

在官方文档中提到了接入点,其中接入点ARN必须代替存储桶名称(https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/s3.html) . 官方文档站点上没有针对开发人员的示例 ( https://docs.aws.amazon.com/AmazonS3/latest/dev/using-access-points.html )。

因此,根据信息,我认为正确的使用方法是:

import boto3
s3 = boto3.resource('s3')
s3.Bucket('<access_point_arn>').download_file('hello.txt', '/tmp/hello.txt')

当我在附加了托管策略的 Lambda 中执行此代码时,AmazonS3FullAccess我得到一个ClientError: An error occurred (403) when calling the HeadObject operation: Forbidden

Lambda 和 S3 接入点都连接到同一个 VPC。

4

2 回答 2

2

我的第一个猜测是您缺少必须在 (1) 存储桶(存储桶策略)和 (2) 您在 boto3 SDK 中使用的 IAM 用户或角色上定义的权限。

(1) 从文档中我可以看到

为了使应用程序或用户能够通过访问点访问对象,访问点和底层存储桶都必须允许该请求

例如,您可以添加一个将访问控制委派给访问点的存储桶策略,这样您就不必指定通过访问点来的每个主体。链接文档中给出了一个示例。

(2) 如您的问题所述,您已经在 LambdaExecutionRole 中使用 AmazonS3FullAccess 策略。我唯一的猜测(即发生在我身上的事情)是,例如,对您的存储桶中的对象进行了 KMS 加密,而您的角色缺少对 kms 操作的权限。尝试执行附加了管理策略的功能,看看它是否有效。如果是,请找出缺少哪些特定权限。

一些进一步的说明:我假设你

  • 没有将接入点限制为仅在特定 VPC 中可用。
  • 正在阻止公共访问。
于 2020-07-08T16:45:13.880 回答
0

代替...

"资源": "arn:aws:s3:region_name:<12-digit account_id>:bucket_name"
s3.Bucket('bucket_name').download_file('hello.txt', '/tmp/hello.txt')

希望能帮助到你...

于 2020-05-29T19:28:05.263 回答