我看到aws s3 ls和aws s3api列表桶的不同行为
这是第一个:
$ aws s3 ls s3://demo.for.customers
Bucket: demo.for.customers
Prefix:
LastWriteTime Length Name
------------- ------ ----
PRE 5CE4D191-FD14-4C85-8146-9FB8C29B7A7B/
PRE FFBC4675-F864-40E9-8AB8-BDF7A0437010/
因此,我可以列出存储桶内的对象demo.for.customers
现在,当我使用s3api运行相同的东西时,我会被拒绝访问:
$ aws s3api list-objects --bucket demo.for.customers
A client error (AccessDenied) occurred: Access Denied
问题:为什么我会因为通过s3api列出对象而被拒绝访问。
我提出这个问题的原因是,如果我使用AWS S3 Ruby SDK,我会遇到同样的问题。
但是,当我使用aws s3 ls时,一切都很好。
因此,AWS S3 Ruby SDK和AWS s3api表现出相同的行为。因此,我在此处仅粘贴aws s3api CLI问题。
顺便说一句,这是已应用于运行以上所有命令的用户的IAM策略:
{
"Statement": [
{
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::"
]
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::demo.for.customers"
],
"Condition": {
"StringEquals": {
"s3:prefix": [
"",
"FFBC4675-F864-40E9-8AB8-BDF7A0437010/"
],
"s3:delimiter": [
"/"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::demo.for.customers/FFBC4675-F864-40E9-8AB8-BDF7A0437010/"
]
}
]
}
这是ruby代码,它会产生完全相同的错误;
#!/usr/bin/ruby
require 'aws-sdk'
require 'awesome_print'
AWS.config( :access_key_id => 'whatever',
:secret_access_key => 'again whatever',
:region => 'us-west-2')
s3 = AWS.s3
buckets = s3.client.list_objects(:bucket_name => "demo.for.customers")
ap buckets
输出为:
# ruby s3policies.rb
/var/lib/gems/1.9.1/gems/aws-sdk-1.14.1/lib/aws/core/client.rb:366:in `return_or_raise': Access Denied (AWS::S3::Errors::AccessDenied)
根据您定义的角色,对列表对象的调用需要前缀和分隔符。
以下命令适用于您:
aws s3api list-objects --bucket demo.for.customers --prefix "" --delimiter "/"
如果您在ListBucket策略中删除分隔符条件,那么这将适用于您:
aws s3api list-objects --bucket demo.for.customers --prefix ""
如果你也删除了前缀条件,那么这将适用于你:
aws s3api list-objects --bucket demo.for.customers
测试以上内容的一个好方法是复制您的角色策略并逐步删除条件,直到它按预期运行。
确保在运行该实用程序的位置(目录)设置了正确的权限。
目录应该具有正确的所有权(所有者应该是运行该实用程序的用户,而不是root用户或任何其他用户),并具有创建目录的足够权限。