amazon s3 ungültig AUFTRAGGEBER im Eimer Politik

Ich versuche, erstellen Sie einen neuen bucket-Politik in der Amazon S3-Konsole und bekomme die Fehlermeldung

Ungültig AUFTRAGGEBER in der Politik - "AWS" : "my_username"

Benutzername ich verwende im Prinzip ist mein Standard-Eimer der berechtigte (grantee).

Meine Politik

{
  "Id": "Policy14343243265",
  "Statement": [
    {
      "Sid": "SSdgfgf432432432435",
      "Action": [
        "s3:DeleteObject",
        "s3:DeleteObjectVersion",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetObjectVersionAcl",
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:PutObjectVersionAcl"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::my_bucket/*",
      "Principal": {
        "AWS": [
          "my_username"
        ]
      }
    }
  ]
}

Ich don t verstehen, warum ich bin immer der Fehler. Was mache ich falsch?

InformationsquelleAutor CyberJunkie | 2012-10-05
  1. 16

    Wie die Fehlermeldung sagt, Ihr Prinzip ist falsch. Überprüfen Sie die S3-Dokumentation, auf die Angabe von Auftraggebern, wie es zu beheben. Wie in den Beispiel Politik, es muss etwas wie arn:aws:iam::111122223333:root.

    • Vielen Dank für die Anleitung! Für bessere Sicherheit (würde ich denken) ich die Erlaubnis, meine IAM-Benutzer mit arn:aws:iam::123456789:user/my_user
    • Beachten Sie außerdem, können Sie Berechtigungen erteilen S3 (und andere Dienstleistungen) direkt auf einen IAM-Benutzer oder-Gruppe aus. Dies ist oft vorzuziehen, um die Berechtigungen auf den Eimer der politischen Ebene.
    • Ja, ich mache das und das SDK verwenden Sie die Anmeldeinformationen, dass IAM-Benutzer. Sowohl der Eimer, der Politik und den IAM-Benutzer-Richtlinie sind die gleichen. Ich bin mir nicht sicher, warum muss ich angeben, bucket-Richtlinien, wenn ich einfach ein Empfänger mit der Politik eingerichtet. Wie es scheint, mache ich die gleiche Sache zweimal.
    • Der AUFTRAGGEBER entweder Ihre Konto-ID (wenn Sie langfristig Ihre Anmeldeinformationen (nicht empfohlen), oder die ARN von einem IAM-Benutzer (empfohlen).
    • Wenn Sie gerade erstellt haben Ihre Herkunft Zugang Identität, S3 erscheint, müssen Sie ein paar Minuten, bevor Sie ihn annimmt, in einen Eimer Politik.
    InformationsquelleAutor willglynn
  2. 4

    Bessere Lösung:

    1. Erstellen einer IAM-Richtlinie, die den Zugriff auf den bucket
    2. Ordnen ihn einer Gruppe
    3. Setzen Benutzer in dieser Gruppe

    Anstatt zu sagen: "Dieser Eimer ist erlaubt, berührt zu werden von diesem Benutzer" können Sie festlegen, "das sind die Leute, die das können touch this".

    Es klingt doof jetzt, aber warten, bis Sie hinzufügen, 42 weitere Eimer und 60 Nutzer an den mix. Mit einem zentralen Ort zu verwalten alle Ressourcen zugreifen, wird den Tag retten.

    InformationsquelleAutor Jan Hertsens
  3. 2

    Den Wert für den AUFTRAGGEBER müssen dem Benutzer arn, finden Sie in Abschnitt Zusammenfassung durch einen Klick auf Ihren Benutzernamen im IAM.
    Ist es denn so, dass bestimmte Benutzer zu binden, mit den S3-Bucket-Richtlinien
    In meinem Fall ist es arn:aws:iam::332490955950:Benutzer/sample ==> Beispiel ist der Benutzername

    InformationsquelleAutor user2781150
Schreibe einen Kommentar