Amazon web services 跨帐户同步不工作_Amazon Web Services_Amazon S3

Amazon web services 跨帐户同步不工作

amazon-web-services amazon-s3

Amazon web services 跨帐户同步不工作,amazon-web-services,amazon-s3,Amazon Web Services,Amazon S3,我被难住了我有帐户a:arn:aws:iam:：：用户的凭据/ 我在帐户B中有一个bucket:arn:aws:s3:：：bucket name 帐户B中存储桶的策略设置为： { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:*" ], "Effect": "Allow",

我被难住了

我有帐户a:arn:aws:iam:：：用户的凭据/

我在帐户B中有一个bucket:arn:aws:s3:：：bucket name

帐户B中存储桶的策略设置为：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:*"
            ],
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::<ACCOUNT>:user/<USER>"},
            "Resource": [
                "arn:aws:s3:::bucket-name/*",
                "arn:aws:s3:::bucket-name"
            ]
        }
    ]
}

aws-概要文件s3 ls s3://bucket name

在以下情况下失败：

调用ListObjects操作时发生错误AccessDenied:拒绝访问

我尝试了1001种不同的政策。我缺少什么？

aws-profile s3 ls s3://bucket name 在这里仔细检查您的个人资料，可能您使用了错误的个人资料。

这是一篇很好的文章：

访问AWS控制台中的IAM选项卡-创建组-创建组后-使用以下信息创建策略：

{
   "Statement":{
      "Effect":"Allow",
      "Action":"s3:Get*",
      "Resource":"arn:aws:s3:::your-bucket name/*"
   }
}

让您的IAM用户成为您创建的组的成员-他们现在可以在单独的AWS帐户中访问您的S3存储桶

编辑：正如评论中所指出的，我想补充一点说明，要使其生效，您需要获得Bucket所有者和用户自己帐户的许可，然后才能允许跨帐户访问

因此，您可能缺少来自用户自己帐户的权限。

您可能需要解释这是必要的，因为在允许跨帐户访问之前，用户需要来自bucket所有者帐户和用户自己帐户的权限。另请参见，您可能希望同时允许bucket和对象作为资源。Resource:[arn:aws:s3:：：您的bucket name/*，arn:aws:s3:：您的bucket name]我不确定如何将其他帐户的用户添加到该组。使用凭据我可以访问源bucket。aws-概要文件s3 ls s3://源存储桶工作正常。凭据来自另一个帐户。我正在尝试在目标帐户中授予该凭据访问权限。配置文件在另一个帐户中的源存储桶中正常工作。