[英]The file upload by CloudFront Origin Access Identity signed url can't be access by boto3 or IAM role?
我接着是cloudfront docuement http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html#private-content-granting-permissions-to-oai for private文件。
存储桶策略如下所示:
{
"Version": "2008-10-17",
"Id": "PolicyForCloudFrontPrivateContent",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity XXXXXXXXX"
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::XXXXXX/*"
}
]
}
当我通过带有KEY PAIR的签名网址上传文件时。 文件所有者是
Owner CloudFront Origin Access Identity *********
现在,我不能在ec2中使用boto3。 命令
aws s3 cp s3::/xxx/uploadfile test.txt
给我一个错误:
fatal error: An error occurred (403) when calling the HeadObject operation: Forbidden
我可以上传不使用签名网址的文件。 这些文件可以通过boto3访问。 这些文件所有者是
****MyCountName*****
所以我无法弄清楚为什么ec2
机器无法origin access identity
文件?
正如您所注意到的,当CloudFront Origin Access Identity(OAI)授权上传时,OAI是拥有该对象的实体 - 而不是您的帐户。
Owner CloudFront Origin Access Identity XXXX
OAI代表您独家控制的实体,但它们实际上并不属于您的AWS账户。
对象的所有权由授权上载的帐户确定,而不是拥有该存储桶的帐户。 必须由拥有该对象的帐户授予上载帐户以外的帐户的权限。
x-amz-acl: bucket-owner-full-control
http://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html
您可以使用存储桶策略强制使用此标头。
如果您控制进行上传的客户端,则应该能够添加此标头。
如果您不控制客户端,则应该能够使用Lambda @ Edge Viewer Request触发器添加它。 我没有测试过这段代码,但它应该达到目的:
'use strict';
exports.handler = (event, context, callback) => {
const request = event.Records[0].cf.request;
if(request.method == 'PUT')
{
request.headers['x-amz-acl'] = [
{ key: 'x-amz-acl', value: 'bucket-owner-full-control' }
];
}
return callback(null, request);
};
您是否尝试将文件上传到S3或从S3下载文件? 因为你提到了这个命令aws s3 cp s3 :: / xxx / uploadfile test.txt它下载的文件没有上传,这是一个aws-cli命令而不是boto3。
请在此处查看此文档 - http://docs.aws.amazon.com/cli/latest/reference/s3/cp.html
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.