[英]AWS S3 Access point access denied from EC2 (VPC)
我有以下场景,我尝试使用访问点访问 S3 存储桶内容,但是出现AccessDenied
错误。
my-test-bucket
和访问点“my-test-ap”,提供默认策略和 VPC ID 以限制通过 Internet 的访问ssh
到 EC2 实例并运行命令 - aws s3 ls --Bucket my-test-bucket
或aws s3api list-objects --bucket -my-test-bucket
,列出aws s3api list-objects --bucket -my-test-bucket
中的所有内容aws s3api list-objects --bucket arn:aws:s3:us-east-1:my-account-id:accesspoint/my-test-ap
给我“AccessDenied”消息接入点策略
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:us-east-1:my-account-id:accesspoint/my-test-ap",
"Condition": {
"StringEquals": {
"s3:AccessPointNetworkOrigin": "VPC"
}
}
}
]
}
请注意确定缺少什么才能使其正常工作。
为了重现您的情况,我执行了以下操作:
Network origin = VPC
然后我尝试使用以下方法访问存储桶:
aws s3api list-objects-v2 --bucket arn:aws:s3:ap-southeast-2:1111:accesspoint/my-access-point
结果: AccessDenied
然后我添加了一个VPC Endpoint ,因为创建访问点 - Amazon Simple Storage Service说:
要将访问点与 VPC 一起使用,您必须修改 VPC 终端节点的访问策略。 VPC 终端节点允许流量从您的 VPC 流向 Amazon S3。 它们具有访问控制策略,用于控制允许 VPC 内的资源与 S3 交互的方式。 如果 VPC 终端节点策略授予对访问点和底层存储桶的访问权限,则从您的 VPC 到 S3 的请求仅通过访问点成功。
然后我能够成功访问存储桶。
因此,从 VPC 访问 S3 接入点时,似乎需要 VPC 端点。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.