1 votos

AWS S3 acceso denegado al objeto real cuando el simulador dice que se permite el acceso

Tengo un usuario, voy a llamar a Alfred Usuario, acoplada a una política de IAM como sigue

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket-name/*",
                "arn:aws:s3:::my-bucket-name/",
                "arn:aws:s3:::my-bucket-name"
            ]
        }
    ]
}

En el IAM simulador, me sale "Permitido" para GetObject, mediante esta política, y este ARN: arn:aws:s3:::my-bucket-name/my-object.xml

En la CLI, tengo AccessDenied para el comando siguiente: aws s3 cp s3://my-bucket-name/my-object.xml temp/my-object.xml

Un error del cliente (AccessDenied) se produjo cuando se llama a la GetObject operación: Acceso Denegado

He mirado todo lo que puedo pensar, pero no puedo explicar esta discrepancia. Lo que me estoy perdiendo?

Cosas que he probado

"creds" aquí significa "AWS IAM claves de acceso"

  • IAM simulador; esto funciona
  • Un conjunto diferente de IAM creds; esto funciona
  • El uso de aws s3 ls s3://my-bucket-name/ -- esto funciona con Alfred IAM creds y con mi creds
  • En comparación con las políticas para un configurados de manera similar cubo en una cuenta diferente de AWS. Las políticas son idénticos, cerca de como puedo decir.

2voto

JDS Puntos 505

Resulta es permisos de las llaves KMS que cifran este cubo. Las teclas son propiedad de la cuenta de root y como tal no pude encontrarlos con mi normal acceso IAM, ni pude ver la política en ellos.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: