AWS：s3 存储桶策略不授予 IAM 用户上传到存储桶的权限，引发 403 错误

Question

我有一个S3 存储桶，可以完美地与根凭证（ AWS_ACCESS_KEY_ID和AWS_SECRET_ACCESS_KEY ）一起将文件上传到存储桶。

我创建了一个IAM 用户。
我试图通过创建此策略并将其附加到该存储桶来授予该IAM 用户将文件上传到该存储桶的权限：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement2",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::122xxxxxxxx28:user/iam-user-name"
            },
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::bucket-name"
        }
    ]
} 

但是，当我尝试上传文件时，出现此错误：

PUT https://bucket-name.s3.region-code.amazonaws.com/images/60ded1353752602bf4b364ee.jpeg?Content-Type=image%2F%2A&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-WKUWWREDential=AIBM %2F20220128%2Feu-west-3%2Fs3%2Faws4_request&X-Amz-Date=20220128T123229Z&X-Amz-Expires=300&X-Amz-Signature=dfdc3d92f6e52da5387c113ddd793990d1033fdd7318b42b2573594835c01643&X-Amz-SignedHeaders=host%3Bx-amz-acl&x-amz-acl=public-read 403（禁止）

这是上传的工作方式：

1. 我在后端生成一个预签名 URL：

   var getImageSignedUrl = async function (key) { return new Promise((resolve, reject) => { s3.getSignedUrl( "putObject", { Bucket: AWS_BUCKET_NAME, Key: key, ContentType: "image/*", ACL: "public -read", Expires: 300, }, (err, url) => { if (err) { reject(err); } else { resolve(url); } } ); }); };

2. 然后使用 url 将文件上传到前端：

   等待 axios.put(uploadConfig.url, file, { headers: { "Content-Type": file.type, "x-amz-acl": "public-read", }, transformRequest: (data, headers) => { delete headers.common["Authorization"]; return data; }, });

Answer 1

您可能需要更换：

"Resource": "arn:aws:s3:::bucket-name"

和：

"Resource": ["arn:aws:s3:::bucket-name","arn:aws:s3:::bucket-name/*"]

S3:PutObject 之类的操作适用于存储桶中的特定对象，例如：bucket-name/image_1.png，因此添加通配符资源可以访问这些 object 操作。