AWS S3 Server side encryption Zugriff verweigert " - Fehler

  • Ich habe A-und B-AWS-Konten und ich bin der Synchronisierung S3-bucket aus Einem Konto SoruceS3Bucket zu account B DestinationS3Bucket.
  • Folgenden ist die bucket-Richtlinien, die angewendet wird auf dem Ziel-Eimer und es ist so dass Quell-AWS-Konto zum synchronisieren der Inhalte mit DestinationS3Bucket.
{ 
"Version": "2012-10-17", 
"Statement": [ 
{ 
"Sid": "PermissionsToAAccount", 
"Effect": "Allow", 
"AUFTRAGGEBER": { 
"AWS": "arn:aws:iam::XXXXXXX:root" 
}, 
"Action": "s3:*", 
"Ressource": [ 
"arn:aws:s3:::DestinationS3Bucket", 
"arn:aws:s3:::DestinationS3Bucket/*" 
] 
} 
] 
}
  • Hier die Synchronisation war perfekt funktioniert, seit langer Zeit, und es ist immer noch arbeiten, aber aus vergangenen Tagen an der DestinationS3Bucket Dateien nicht zugänglich sind, mit der Server side encryption Zugriff verweigert Fehler.
  • Habe ich überprüft, es ist keine Verschlüsselung(Standard Verschlüsselung, keine) auf SourceS3Bucket und DestinationS3Bucket und ich bin mit Quell-AWS-Konto secret und dem access key synchronisieren der Inhalte. Vielen Dank im Voraus.
  • Wenn Sie diese Fehlermeldung erhalten, verwenden Sie Anmeldeinformationen für das Quellkonto oder Zielkonto? Der Besitzer der Datei ist die Quelle-Konto. Überprüfen Sie die S3-ACL für eine Datei problem.
  • Die Anmeldeinformationen werden verwendet, von der Quelle AWS-Konto. Der Fehler war, zeigt in der AWS-S3-Konsole auf Datei-Ebene unter "Server-side encryption" als Zugang verweigert stattdessen Keine, AES-256 und AWS KMS. Der Besitzer der Datei wurde Quelle-Konto. Ja, Das Problem war mit ACL. Er arbeitete mit "--acl-Eimer-Besitzer-full-control" - flag. Danke John 🙂
  • Danke @Nitin. Ich habe eine Antwort, basierend auf dieser Lösung.
InformationsquelleAutor Nitin | 2017-12-05
  1. 16

    Beim kopieren von Dateien von einem S3-bucket in Ein Konto mit den Anmeldeinformationen des Kontos Ein, um einen Eimer in Konto B, der Eigentümer der Dateien in den Ziel-Eimer werden A. Konto (Konto A ist der Prinzipal, der die Dateien erstellt in Konto B der Eimer).

    Während dem kopieren der Dateien von der Quelle zum Ziel-Eimer, fügen Sie die --acl bucket-owner-full-control - option, so dass Konto B kann die Kontrolle der Dateien. Sonst könnte man files in Konto B, Eimer, Konto B kann nicht Zugang zu oder Kontrolle.

    Weitere option ist die Verwendung der Anmeldeinformationen des Kontos B kopieren vom Quell-auf den Ziel-Eimer. Diese Weise den Eigentümer der kopierten Dateien ist Konto B

    • Die Flagge immer noch nicht den Besitzer wechseln, wie kann ich den Besitzer nach dem Eimer kopiert wurde?
    • Sie können nicht ändern Sie den Besitzer eines Objekts in S3. Sie können kopieren Sie die Datei in Ort, wodurch eine neue S3-Objekt und zerstört das alte Objekt. Es gibt Nebenwirkungen wie kopieren, Zeit, Bandbreite, storage-Kosten, Metadaten, etc.
    InformationsquelleAutor John Hanley
  2. 1

    Lösung zur Verfügung gestellt von John Hanely funktioniert, aber das bedeutet nicht, sofort ändern Sie die Eigentumsrechte. Sie würde ausführen müssen einen separaten Befehl, es zu ändern

    Erste Schritt:

    aws s3 cp s3://yourbucket s3://yourbucket --recursive --acl bucket-owner-full-control

    Zweite Schritt:

    aws s3 cp s3://yourbucket s3://yourbucket --recursive --metadata-directive REPLACE

    Bemerken --meta-directive REPLACE

    • Das ist gute Informationen, aber seien Sie vorsichtig mit diesen Befehlen, da Sie Nebenwirkungen haben. 1) Sie können nicht ändern, die Besitzer eines S3-Datei. Der oben aufgeführten Befehl funktioniert eine Datei kopieren und ersetzen, das hat Zeit und Kosten und Nebenwirkungen. 2) --meta-Richtlinie ERSETZEN wird, entfernen metatadata wie content-Typ, brechen viele Dinge.
    • Ich Sprach mit dem AWS support-Jungs, und Sie haben nicht erwähnt, dass, Dank für die info aber 🙂
    • In meinem use-case-senario, die ich nicht haben vollen Zugriff auf die Herkunft der Quelle-account, also kann kaum etwas tun. Ich wollte nur die genaue Nachbildung der Eimer und ändern Sie dessen Eigentum.
    InformationsquelleAutor Aftab Naveed
  3. 1

    Ersetzen Sie die Dateien und die Metadaten werden zusammen diese Weise - 

    aws s3 cp s3://yourbucket s3://yourbucket --recursive --acl bucket-owner-full-control --metadata-directive REPLACE
    InformationsquelleAutor Dart
Schreibe einen Kommentar