Отказано в доступе к политике корзины AWS S3

#amazon-web-services #amazon-s3

#amazon-веб-сервисы #amazon-s3

Вопрос:

Пытаюсь установить политику корзины для корзины S3, но получаю сообщение об ошибке Доступ запрещен:

Для всех параметров в параметре Общедоступный доступ установлено значение false:

Итак, вопрос в том, что мне нужно для настройки политики корзины?

1. Вы показали только параметры общедоступного доступа к корзине … существуют также параметры для всей учетной записи, которые переопределяют эти: aws.amazon.com/blogs/aws /…

2. @Michael-sqlbot Бинго! Большое спасибо!

Ответ №1:

S3 защищен по умолчанию и всегда был таким — пользователю всегда требовалось предпринимать обдуманные целенаправленные шаги, чтобы «случайно» сделать содержимое своей корзины общедоступным… тем не менее, пользователи по-прежнему время от времени допускают ошибки конфигурации и предоставляют доступ к своим корзинам.

AWS реализовала два уровня защиты от несанкционированного доступа, призванные затруднить подобные ошибки — существуют настройки уровня корзины и учетной записи для предотвращения публичного доступа к корзинам, оба из которых должны «разрешать» вам это делать. Если какая-либо из политик не позволяет вам сделать корзину общедоступной, вы получите Access Denied при попытке создать или изменить политику корзины, если система классифицирует вашу новую политику как хотя бы слегка «общедоступную».

Прежде чем продолжить и отключить защиту, обратите внимание, что система пытается защитить вас от вас самих. По сути, никогда не существует веской причины, по которой можно было бы разрешить * запись в вашу корзину или удаление из нее. "Principal": "*" означает любого пользователя, включая не прошедших проверку подлинности / анонимных пользователей.

Найдите «Параметры общего доступа для этой учетной записи» в левой панели навигации консоли S3 для глобальных настроек.

https://aws.amazon.com/blogs/aws/amazon-s3-block-public-access-another-layer-of-protection-for-your-accounts-and-buckets/

Ответ №2:

Похоже, что учетная запись пользователя, которую вы пытаетесь выполнить, не имеет разрешения на изменение этой конкретной корзины. Пожалуйста, проверьте разрешение вашей учетной записи в IAM или на панели учетных записей.

Ответ №3:

Для просмотра политики корзины у вашего пользователя IAM или роли должно быть разрешение на s3:GetBucketPolicy действие. Чтобы отредактировать существующую политику корзины, у вашего пользователя IAM или роли должно быть разрешение на s3:PutBucketPolicy действие.

Кроме того, убедитесь, что в вашей политике IAM нет Deny инструкций, которые переопределяют разрешения политики корзины.

Кстати, я заметил, что предлагаемая вами политика корзины S3 позволяет любому пользователю удалять объекты. Я не уверен, было ли это вашим намерением, но обычно это не рекомендуется делать.

1. У меня есть только пользователи root и admin, но я не могу установить политику.

2. Как пользователь root, вы должны иметь возможность удалить текущую политику. Тогда ваш пользователь IAM admin должен иметь возможность применить новую политику корзины. Может ли ваш пользователь root удалить политику корзины?