Amazon web services 跨帐户同步不工作
我被难住了 我有帐户a:arn:aws:iam:::用户的凭据/ 我在帐户B中有一个bucket:arn:aws:s3:::bucket name 帐户B中存储桶的策略设置为:Amazon web services 跨帐户同步不工作,amazon-web-services,amazon-s3,Amazon Web Services,Amazon S3,我被难住了 我有帐户a:arn:aws:iam:::用户的凭据/ 我在帐户B中有一个bucket:arn:aws:s3:::bucket name 帐户B中存储桶的策略设置为: { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:*" ], "Effect": "Allow",
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:*"
],
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::<ACCOUNT>:user/<USER>"},
"Resource": [
"arn:aws:s3:::bucket-name/*",
"arn:aws:s3:::bucket-name"
]
}
]
}
aws-概要文件s3 ls s3://bucket name
在以下情况下失败:
调用ListObjects操作时发生错误AccessDenied:拒绝访问
我尝试了1001种不同的政策。我缺少什么?aws-profile s3 ls s3://bucket name
在这里仔细检查您的个人资料,可能您使用了错误的个人资料。
这是一篇很好的文章:访问AWS控制台中的IAM选项卡-创建组-创建组后-使用以下信息创建策略:
{
"Statement":{
"Effect":"Allow",
"Action":"s3:Get*",
"Resource":"arn:aws:s3:::your-bucket name/*"
}
}
让您的IAM用户成为您创建的组的成员-他们现在可以在单独的AWS帐户中访问您的S3存储桶
编辑:正如评论中所指出的,我想补充一点说明,要使其生效,您需要获得Bucket所有者和用户自己帐户的许可,然后才能允许跨帐户访问
因此,您可能缺少来自用户自己帐户的权限。您可能需要解释这是必要的,因为在允许跨帐户访问之前,用户需要来自bucket所有者帐户和用户自己帐户的权限。另请参见,您可能希望同时允许bucket和对象作为资源。Resource:[arn:aws:s3:::您的bucket name/*,arn:aws:s3::您的bucket name]我不确定如何将其他帐户的用户添加到该组。使用凭据我可以访问源bucket。aws-概要文件s3 ls s3://源存储桶工作正常。凭据来自另一个帐户。我正在尝试在目标帐户中授予该凭据访问权限。配置文件在另一个帐户中的源存储桶中正常工作。