Sto davvero andando in giro in AWS cercando di capire cosa mi sto perdendo qui. Mi piacerebbe farlo in modo che un utente IAM possa scaricare file da un bucket S3 - senza solo rendere i file totalmente pubblici - ma mi viene negato l'accesso. Se qualcuno riesce a individuare ciò che è fuori, sarò entusiasta.
Quello che ho fatto finora:
- Creato un utente chiamato my-user (per esempio)
- Generato chiavi di accesso per l'utente e inserirle in ~ / .aws su un'istanza EC2
- Ho creato una politica bucket che speravo conceda l'accesso per il mio utente
- Ho eseguito il comando
aws s3 cp --profile my-user s3://my-bucket/thing.zip .
Politica della benna:
{
"Id": "Policy1384791162970",
"Statement": [
{
"Sid": "Stmt1384791151633",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::my-bucket/*",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/my-user"
}
}
]
}
Il risultato è A client error (AccessDenied) occurred: Access Denied
anche se posso scaricare usando lo stesso comando e le chiavi di accesso predefinite (account root?).
Ho provato anche ad aggiungere una politica utente. Anche se non so perché sarebbe necessario, ho pensato che non avrebbe fatto male, quindi l'ho attaccato al mio utente.
{
"Statement": [
{
"Sid": "Stmt1384889624746",
"Action": "s3:*",
"Effect": "Allow",
"Resource": "arn:aws:s3:::my-bucket/*"
}
]
}
Stessi risultati