Как исправить AccessDenied, вызвав CopyObject - PullRequest
Новая
       61

Как исправить AccessDenied, вызвав CopyObject

0 голосов
/ 26 февраля 2019

Я пытаюсь скопировать файлы из корзины в учетной записи A в другую корзину, но в учетной записи B.Когда я пытаюсь синхронизировать файлы с помощью команды

aws s3 sync s3://BUCKET_A s3://BUCKET_B

Возвращается следующий вывод: 

copy failed: s3://BUCKET_A to s3://BUCKET_B An error occurred (AccessDenied) when calling the CopyObject operation: Access Denied

Это политика, которая была прикреплена к созданному пользователемв учетной записи B (куда будут скопированы файлы из корзины A): 

{
    "Version": "2012-10-17",
    "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:ListBucket",
              "s3:GetObject",
              "s3:PutObject",
              "s3:PutObjectAcl"
          ],
          "Resource": [
              "arn:aws:s3:::BUCKET_A",
              "arn:aws:s3::: BUCKET_A/*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "s3:ListBucket",
              "s3:GetObject",
              "s3:PutObject",
              "s3:PutObjectAcl"
          ],
          "Resource": [
              "arn:aws:s3:::BUCKET_B",
              "arn:aws:s3:::BUCKET_B/*"
          ]
      }
    ]
}

Возможно, мне не хватает какого-то разрешения?Я не нахожу разрешение CopyObject добавить в мою политику пользователя / корзины

1 Ответ

0 голосов
/ 26 февраля 2019

На стороне вашей политики ролей IAM вам потребуется следующее: 

  {
    "Version": "2012-10-17",
    "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:ListBucket",
              "s3:GetObject",
              "s3:PutObject",
              "s3:PutObjectAcl"
          ],
          "Resource": [
              "arn:aws:s3:::BUCKET_A",
              "arn:aws:s3::: BUCKET_A/*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "s3:ListBucket",
              "s3:GetObject",
              "s3:PutObject",
              "s3:PutObjectAcl"
          ],
          "Resource": [
              "arn:aws:s3:::BUCKET_B",
              "arn:aws:s3:::BUCKET_B/*"
          ]
      }
    ]
}

Вам необходимо добавить эти разрешения в BUCKET_B 

{
         "Sid": "Example permissions",
         "Effect": "Allow",
         "Principal": {
            "AWS": "arn:aws:iam::your_iam_policy"
         },
         "Action": [
              "s3:ListBucket",
              "s3:GetObject",
              "s3:PutObject",
              "s3:PutObjectAcl"
          ],
         ],
         "Resource": [
            "arn:aws:s3:::BUCKET_B"
         ]
      }
...