通过 AWS 控制台访问根帐户时，使用 CloudFront 403 错误上传的文件

Question

通过 CloudFront 原始访问身份通过 CloudFront 将文件上传到 s3 存储桶成功运行，但是上传文件的属性无法修改，并且我的 AWS 账户的根用户无法访问某些元数据。 我能够通过 CloudFront 端点获取文件，但是我不明白为什么我无法通过 AWS 管理控制台通过我的 AWS 根账户修改或访问上传文件的某些字段。

s3 存储桶中的默认 ACL 用于 root 用户帐户，如下所示：

我在我的存储桶中添加了第二个策略，只是为了确保 root 用户具有对文件的显式访问权限。 完整的存储桶策略如下所示：

{
    "Version": "2008-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity 00000000000000"
                ]
            },
            "Action": [
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket/stuff/",
                "arn:aws:s3:::my-bucket/stuff/*",
                "arn:aws:s3:::my-bucket/other-stuff/",
                "arn:aws:s3:::my-bucket/other-stuff/*"
            ]
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::000000000000:root"
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::my-bucket/stuff/",
                "arn:aws:s3:::my-bucket/stuff/*",
                "arn:aws:s3:::my-bucket/other-stuff/",
                "arn:aws:s3:::my-bucket/other-stuff/*"
            ]
        }
    ]
}

当我查看通过 CloudFront 上传的文件时，我在文件概览选项卡上收到许多选项的拒绝访问：

我还从同一文件的文件属性选项卡中收到更多拒绝访问：

Answer 1

您需要通过使用 CloudFront 链接进行的 PUT/POST 调用传递 ACL “Bucket-owner-full-control” ，还需要修改 CloudFront 的存储桶策略以允许您使用 PutobjectACL。