Zugriff Verweigert beim Aufruf der PutObject-Betrieb mit Eimer-level-Berechtigung

Folgte ich dem Beispiel auf http://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_examples.html#iam-policy-example-s3 für so gewähren Sie einem Benutzer Zugriff auf nur einen Eimer.

Habe ich dann getestet die config mit dem W3 Total Cache WordPress plugin. Der test fehlgeschlagen ist.

Ich habe auch versucht zu reproduzieren des Problems verwenden 

aws s3 cp --acl=public-read --cache-control='max-age=604800, public' ./test.txt s3://my-bucket/

ist und dass Fehler bei der mit der

upload failed: ./test.txt to s3://my-bucket/test.txt A client error (AccessDenied) occurred when calling the PutObject operation: Access Denied

Warum kann ich nicht hochladen ... zu meinem Eimer?

InformationsquelleAutor Greg | 2016-03-28
  1. 111

    Beantwortung meiner eigenen Frage:

    Beispiel Politik gewährt PutObject-Zugang, aber ich hatte auch zu gewähren PutObjectAcl Zugang.

    Musste ich ändern

    "s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"

    aus dem Beispiel:

    "s3:PutObject",
"s3:PutObjectAcl",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:DeleteObject"

    Müssen Sie auch sicherstellen, dass Ihre Eimer ist konfiguriert für clients, die eine öffentlich-zugängliche ACL über diese beiden Boxen:

    Zugriff Verweigert beim Aufruf der PutObject-Betrieb mit Eimer-level-Berechtigung

    • Danke!!! Nicht sicher, warum Amazon die eigene Dokumentation ist aus. Wenn Sie zu "s3:AbortMultipartUpload" auch so, dass ein upload abgebrochen werden ordnungsgemäß gelöscht.
    • Proben für die S3-Richtlinien hier platziert docs.aws.amazon.com/IAM/latest/UserGuide/...
    • btw es funktioniert nicht für mich. boto3 Interaktion, auch mit s3fullaccess Politik, die ich bin gettin "Zugriff verweigert für PutObject"
    • OMG es gemacht werden sollte, wie ROLLE, aber nicht als Richtlinie. Wenn ich die erstellte Rolle für S3 mit dem gleichen Inhalt wie die Politik - ES FUNKTIONIERT
    • In meinem Fall das arbeiten mit AWS-cli, aber es ist nicht wrokign mit boto
    • danke!!! Es scheint, dass "s3:DeleteObject" ist nicht notwendig
    • Ich hatte S3 den vollen Zugriff, aber fehlte der Block neue öffentliche ACLs und hochladen öffentliche Objekte. Danke!!!
    • SIE WIRKLICH MEINEN TAG GERETTET! WUNDERBARE ANTWORT.

    InformationsquelleAutor Greg
  2. 22

    Ich hatte ein ähnliches problem. Ich war nicht mit dem ACL-Zeug, so dass ich nicht brauchen s3:PutObjectAcl.

    In meinem Fall, ich war dabei (in Serverlose Rahmen YML):

    - Effect: Allow
  Action:
    - s3:PutObject
  Resource: "arn:aws:s3:::MyBucketName"

    Statt:

    - Effect: Allow
  Action:
    - s3:PutObject
  Resource: "arn:aws:s3:::MyBucketName/*"

    Fügt eine /* zum Ende der Eimer ARN.

    Hoffe, das hilft.

    • Ich brauchte, der mit /*
    InformationsquelleAutor movermeyer
  3. 5

    War ich nur schlug meinen Kopf gegen eine Wand gerade versucht, zu S3 uploads mit großen Dateien arbeiten. Zunächst mein Fehler war:

    An error occurred (AccessDenied) when calling the CreateMultipartUpload operation: Access Denied

    Dann habe ich versucht, das kopieren, eine kleinere Datei und bekam:

    An error occurred (AccessDenied) when calling the PutObject operation: Access Denied

    Könnte ich die Liste der Objekte in Ordnung, aber ich konnte nichts anderes tun, obwohl ich hatte s3:* Berechtigungen in meiner Rolle der Politik. Ich landete überarbeitung der Richtlinie zu diesem:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject"
            ],
            "Resource": "arn:aws:s3:::my-bucket/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket",
                "arn:aws:s3:::my-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "*"
        }
    ]
}

    Nun bin ich in der Lage, das hochladen einer Datei. Ersetzen my-bucket mit Ihrem Eimer Namen. Ich hoffe, das hilft jemand anderem, das wird durch dieses.

    InformationsquelleAutor Ken J
  4. 3

    In diesem Fall helfen, die sonst jemand, in meinem Fall, ich war mit einem CMK (es geklappt, mit dem Standard-aws/s3-Taste)

    Ich musste, um meine Schlüssel definition in IAM und fügen Sie den programmatischen Benutzer angemeldet boto3, um die Liste der Benutzer, dass "dieser Schlüssel können zum verschlüsseln und entschlüsseln von Daten innerhalb von Anwendungen und bei der Nutzung von AWS-services integriert mit KMS.".

    InformationsquelleAutor PeskyGnat
  5. 3

    Ich hatte ein ähnliches Problem beim hochladen zu einem S3-bucket geschützt mit KWS-Verschlüsselung.
    Ich habe eine minimale Richtlinie, die ermöglicht das hinzufügen von Objekten unter einem bestimmten s3-Taste.

    Ich brauchte, um fügen Sie die folgenden KMS-Berechtigungen, um meine Politik zu ermöglichen, die Rolle zu setzen Objekte in den Eimer. (Vielleicht etwas mehr, als unbedingt erforderlich)

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "kms:ListKeys",
                "kms:GenerateRandom",
                "kms:ListAliases",
                "s3:PutAccountPublicAccessBlock",
                "s3:GetAccountPublicAccessBlock",
                "s3:ListAllMyBuckets",
                "s3:HeadBucket"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "kms:ImportKeyMaterial",
                "kms:ListKeyPolicies",
                "kms:ListRetirableGrants",
                "kms:GetKeyPolicy",
                "kms:GenerateDataKeyWithoutPlaintext",
                "kms:ListResourceTags",
                "kms:ReEncryptFrom",
                "kms:ListGrants",
                "kms:GetParametersForImport",
                "kms:TagResource",
                "kms:Encrypt",
                "kms:GetKeyRotationStatus",
                "kms:GenerateDataKey",
                "kms:ReEncryptTo",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:<MY-REGION>:<MY-ACCOUNT>:key/<MY-KEY-GUID>"
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action": [
            <The S3 actions>
            ],
            "Resource": [
                "arn:aws:s3:::<MY-BUCKET-NAME>",
                "arn:aws:s3:::<MY-BUCKET-NAME>/<MY-BUCKET-KEY>/*"
            ]
        }
    ]
}
    InformationsquelleAutor Spangen
  6. 1

    Ich hatte die gleiche Fehlermeldung für einen Fehler, den ich gemacht:
    Stellen Sie sicher, dass Sie eine korrekte s3 uri wie: s3://my-bucket-name/

    (Wenn meine-bucket-Namen ist die Wurzel des aws-s3 natürlich)

    Darauf bestehe ich, weil beim kopieren und einfügen der s3-bucket, die von Ihrem browser erhalten Sie so etwas wie https://s3.console.aws.amazon.com/s3/buckets/my-bucket-name/?region=my-aws-regiontab=overview

    Damit ich den Fehler gemacht, zu verwenden s3://buckets/my-bucket-name wirft:

    An error occurred (AccessDenied) when calling the PutObject operation: Access Denied

    InformationsquelleAutor François
Schreibe einen Kommentar