В доступе к S3 Bucket отказано даже для администратора

Во-первых, у меня есть полный доступ ко всем моим ведрам s3 (у меня есть права администратора).

после оплаты с помощью моей политики ведра s3 у меня возникает проблема, заключающаяся в том, что я не могу ничего просматривать или редактировать в своем ведре, и получаю сообщение об ошибке «Доступ запрещен».


amazon-web-services amazon-s3 amazon-iam
person Nir Berko    schedule 06.09.2020    source источник
comment
как вы пытаетесь получить доступ к S3? из AWS cli или из консоли AWS?   -  person Glasnhost    schedule 06.09.2020
comment
@Glasnhost из консоли AWS, также из AWS cli   -  person Nir Berko    schedule 06.09.2020
comment
и какова ваша политика ведра? вы сами создали ведро?   -  person Glasnhost    schedule 06.09.2020
comment
@Glasnhost Я не могу просматривать / редактировать политику, вот в чем проблема. я играл с ним сегодня и внезапно у меня возникла эта проблема   -  person Nir Berko    schedule 06.09.2020
comment
Возможно, если вы используете какую-либо роль IAM для игры с ведром s3, тогда у этой роли должна быть соответствующая политика для этого.   -  person Achyut Vyas    schedule 06.09.2020
comment
@AchyutVyas у меня AmazonS3FullAccess политика в моем IAM   -  person Nir Berko    schedule 06.09.2020
comment
@NirBerko Я уже упоминал о роли IAM, а не о пользователе. Итак, если вы используете лямбда для вызова s3 ​​API, и если роль, используемая вашей лямбда-функцией, не имеет доступа к S3, это может дать вам ошибку доступ запрещен.   -  person Achyut Vyas    schedule 06.09.2020
comment
Я использую лямбда, и у меня есть полный доступ к роли (я не понял, как лямбда связана с проблемой, что я даже не могу удалить это ведро)   -  person Nir Berko    schedule 06.09.2020
comment
Похоже, вы применили политику корзины, которая не позволяла вам получить доступ к корзине. Вам может потребоваться использовать учетные данные root учетной записи AWS, чтобы исправить это, или поговорить со службой поддержки AWS, или создать новый сегмент и убедиться, что вы не применяете ту же политику к этому сегменту.   -  person jarmod    schedule 06.09.2020

Ответы (3)


arrow_upward
2
arrow_downward

Похоже, вы добавили Deny правило в политику сегмента, которое переопределяет ваши разрешения администратора. (Да, можно заблокировать доступ даже для Администраторов!)

В такой ситуации:

  • Войдите в систему как root-логин (тот, который использует адрес электронной почты)
  • Удалить политику сегмента

К счастью, у пользователя root учетной записи всегда есть полные разрешения. По этой же причине его следует использовать нечасто, а доступ должен быть хорошо защищен (например, с использованием многофакторной аутентификации).

person John Rotenstein    schedule 06.09.2020

arrow_upward
1
arrow_downward

Надеюсь, у вас есть s3-bucket-Full-access в политиках ролей IAM, а также вам необходимо настроить

1. set Access-Control-list и Bucket Policies должны быть общедоступными.

Политика сегмента, как показано ниже

{
    "Version": "2012-10-17",
    "Id": "Policy159838074858",
    "Statement": [
        {
            "Sid": "S3access",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::your bucketname/*"
        }
    ]
}

здесь я только что добавил доступ на чтение и обновление к моему ведру s3 в разделе «Действия», если вам нужно создать и удалить доступ, добавьте эти действия туда. введите описание изображения здесь

person Prashanthkumar R    schedule 06.09.2020
comment
если вы имеете в виду AmazonS3FullAccess, у меня есть эта политика, и я все еще не могу ничего редактировать в моем ведре. - person Nir Berko; 06.09.2020
comment
Ага .. у вас уже есть общий доступ к списку управления доступом и политикам корзины (если у вас уже есть, то будет показано, что разрешение на сегмент является общедоступным) - person Prashanthkumar R; 06.09.2020
comment
да, но мне это не помогает :( Я все еще не могу редактировать свою политику корзины - person Nir Berko; 06.09.2020
comment
войдите в веб-консоль AWS как пользователь root и отредактируйте или удалите политику корзины, нажав кнопку удаления в редакторе политики корзины. - person Prashanthkumar R; 06.09.2020
comment
aws.amazon.com/premiumsupport/knowledge-center/. - person Prashanthkumar R; 06.09.2020

arrow_upward
1
arrow_downward

Вы можете попробовать с

aws s3api delete-bucket-policy --bucket s3-bucket-name

В противном случае войдите с правами root и измените политику

person Glasnhost    schedule 06.09.2020
comment
проблема в том, что у меня нет доступа - person Nir Berko; 06.09.2020