Блог

Главная - Вопросы по программированию - Отказано в доступе к разрешениям корзины AWS IAM

Отказано в доступе к разрешениям корзины AWS IAM

#amazon-web-services #amazon-s3

#amazon-web-services #amazon-s3

Вопрос:

Кто-нибудь сталкивался с ситуацией, когда я использую политики управления для пользователя, это работает, но когда я использую встроенную политику, в ней говорится, что доступ запрещен. Я предоставляю доступ на чтение к корзине для пользователя IAM, то есть он может получить доступ только к этой корзине.

Управление политикой

 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": "*"
        }
    ]
}

Встроенная политика

 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": "arn:aws:s3:::mybucketname/*"
        }
    ]
}

Я также пробовал это

 {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "S3Permissions",
      "Action": "s3:*",
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::mybucketname/*",
        "arn:aws:s3:::mybucketname"
      ]
    }
  ]
}

Комментарии:

1. Что значит «это не работает»? Это не очень конкретно. Какие-либо ошибки?

2. Проблема, с которой я сталкиваюсь, заключается в том, что доступ запрещен

3. Где отказано в доступе? Для использования консоли AWS требуются дополнительные разрешения. Для программного доступа ваша последняя политика должна быть в порядке.

4. Отказано в доступе к информационной панели для пользователя IAM в информационной панели. Пользователь может получить доступ ко всем корзинам с помощью «управление политикой Amazons3ReadonlyAccess», но когда я удаляю его и подключаю встроенную политику с той же политикой или другой политикой, пользователю отказано в доступе ко всем корзинам или указанной папке

Ответ №1:

Ваша последняя политика должна быть подходящей для прямого доступа к корзине, как описано в:

Для доступа к консоли требуются дополнительные разрешения, как показано на:

В частности, политика должна выглядеть как:

 {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": ["arn:aws:s3:::test"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetObject",
        "s3:DeleteObject"
      ],
      "Resource": ["arn:aws:s3:::test/*"]
    }
  ]
}

Amazons3ReadonlyAccess имеет все вышеуказанные разрешения, ваша встроенная политика этого не делает.