Доступ к другой области s3 bucket из экземпляра ec2

Question

Я назначил роль со следующей политикой для моего экземпляра ec2, работающего в us-west-2 region -

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": "*"
        }
    ]
}

и пытающегося получить доступ к сегменту из ap-southeast-1 region.Проблема в том, что все aws s3 операции имеют тайм-аут.Я также попытался указать регион в команде --region ap-southeast-1.

Из документации я нашел этот указатель -

Конечные точки поддерживаются только в одном регионе.Невозможно создать конечную точку между VPC и службой в другом регионе.

Итак, каков процесс доступа к корзине из другого региона с помощью клиента aws-cli или boto из экземпляра?

Answer 1

Очевидно, что для доступа к сегменту из другого региона экземпляру также необходим доступ к общедоступному Интернету.Поэтому у экземпляра должен быть публичный IP-адрес или он должен быть за NAT.

Answer 2

Я бы проверил, чтобы убедиться, что вы дали вышеуказанное разрешение нужному пользователю или роли.

Запустите команду;

aws sts get-caller-identity 

Возможно, вы думаете, что экземпляр EC2 используетучетные данные, которые вы установили, когда он может использовать роль IAM.

Answer 3

Я думаю, что нет необходимости указывать регион корзины, чтобы получить к нему доступ, вы можете проверить некоторые примеры boto3 здесь: https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/s3.html#S3.Client.get_object