Amazon web services S3需要什么权限才能让AWS MediaConverter具有写入文件的权限？

我们使用AWS MediaConverter将视频转换为mp4格式。但MediaConvrter在作业中给出了以下错误：

Unable to write to output file [s3://{path_to_file}]: [Failed to write data: Access Denied]

显然，MediaConverter没有bucker的写权限，但我不知道如何让它们访问它

我们对S3有以下政策：

{
    "Version": "2008-10-17",
    "Id": "PolicyForCloudFrontPrivateContent",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{CloudFront-origin}"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::{S3-bucket}/*"
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::{role-for-our-API}",
                    "arn:aws:iam::{MediaConverter-role}"
                ]
            },
            "Action": "*",
            "Resource": "arn:aws:s3:::{S3-bucket}/*"
        }
    ]
}

我们的ACL只为Bucket所有者提供写、列表权限。以前，每个人都可以列出和写入对象，MediaConverter也可以工作，但我们发现，我们无法接受每个人的列表和写入权限

每个点的封锁公共访问都被关闭

我们用于API的IAM用户和我们用于MediaConverter的角色拥有S3的所有权限（AmazonS3FullAccess）

---

感谢您的帮助。

我认为配置应如下所示。请注意“操作”和“资源”中缺少顶级bucket的更改

{
            "Sid": "2",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::{role-for-our-API}",
                    "arn:aws:iam::{MediaConverter-role}"
                ]
            },
            "Action": "s3:*",
            "Resource": ["arn:aws:s3:::{S3-bucket}","arn:aws:s3:::{S3-bucket}/*" ]
}

---

我认为配置应如下所示。请注意“操作”和“资源”中缺少顶级bucket的更改

{
            "Sid": "2",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::{role-for-our-API}",
                    "arn:aws:iam::{MediaConverter-role}"
                ]
            },
            "Action": "s3:*",
            "Resource": ["arn:aws:s3:::{S3-bucket}","arn:aws:s3:::{S3-bucket}/*" ]
}

---

@uliaadamchuk尝试创建新角色（例如：媒体转换器），并将角色ARN添加到作业设置中：

步骤1：转到IAM角色>创建角色>查找MediaConverter并附加AmazonS3FullAccess和AmazonaPigateWayInvokeelAccess（可选）策略或使用以下JSON版本：

{
“版本”：“2012-10-17”，
“声明”：[
{
“效果”：“允许”，
“行动”：“s3:*”，
“资源”：“*”
}
]
}

@uliaadamchuk尝试创建新角色（例如：媒体转换器）并将角色ARN添加到作业设置中：

步骤1：转到IAM角色>创建角色>查找MediaConverter并附加AmazonS3FullAccess和AmazonaPigateWayInvokeelAccess（可选）策略或使用以下JSON版本：

{
“版本”：“2012-10-17”，
“声明”：[
{
“效果”：“允许”，
“行动”：“s3:*”，
“资源”：“*”
}
]
}

我想确保您已在Mediaconvert作业设置中将访问控制设置为BUCKET\u OWNER\u FULL\u控制。这听起来好像不是在作业设置中设置的，因为bucket要求使用bucket所有者完全控制ACL设置对象

可以在所有输出组设置下，在目标设置下找到设置

"DestinationSettings": {
              "S3Settings": {
              "AccessControl": {
              "CannedAcl": "BUCKET_OWNER_FULL_CONTROL"
            }
          }

问候

---

Michael

我想确保您已在Mediaconvert作业设置中将访问控制设置为桶所有者\u完全\u控制。这听起来好像不是在作业设置中设置的，因为bucket要求使用bucket所有者完全控制ACL设置对象

可以在所有输出组设置下，在目标设置下找到设置

"DestinationSettings": {
              "S3Settings": {
              "AccessControl": {
              "CannedAcl": "BUCKET_OWNER_FULL_CONTROL"
            }
          }

问候

---

Michael

为了正确地解决此问题，我们可能需要收集有关AWS环境中细节的其他信息。如果您有活动的支持计划，请打开一个案例（），如果没有，请在AWS开发者论坛-MediaConvert（）上打开一个线程，我们将能够直接与您联系。

要正确解决此问题，我们可能需要收集有关您AWS环境中的详细信息。如果您有一个积极的支持计划，请打开一个案例（），如果没有，请在AWS开发者论坛-MediaConvert（）上打开一个线程，我们将能够直接与您联系。

Hei，感谢您的回复，但没有帮助，MediaConverter显示相同的错误。您好@Juliadamchuk。让我回顾一下，我会很快给你回复。嗨，谢谢你的回复，但这没有帮助，MediaConverter显示了相同的错误。嗨@juliaadamchuk。让我回顾一下，我很快会回复您。Hei Adarsh，我们已经为MediaConverter角色设置了AmazonS3完全访问策略，所以我只添加了AmazonaPigatewayInvokeLocalAccess，但没有任何帮助。@Juliadamchuk很抱歉，但您确定在作业设置中使用了正确的角色ARN吗？可能是您提供的没有访问s3的权限。是的，我已经仔细检查过了。Hei Adarsh，我们已经为MediaConverter角色设置了AmazonS3完全访问策略，所以我只添加了AmazonaPigatewayInvokeelAccess，但没有帮助。@Juliadamchuk很抱歉，但您确定在作业设置中使用了正确的角色ARN吗？可能是你给的那个人没有访问s3的权限。是的，我仔细检查了一下。嗨，迈克尔，谢谢你的回复，我们以前读过PUBLIC_，但不管怎样，我也试过了，但没用。嗨，迈克尔，谢谢你的回复，我们以前读过PUBLIC_，但不管怎样，我也试过了，但没用。你找到解决办法了吗？你找到解决办法了吗？