[英]AWS IAM Policy Issues writing to s3 bucket for Grafana alerts
AWS權限和grafana能夠上傳圖像的策略存在一些問題。 首先,我嘗試根據https://grafana.com/docs/installation/configuration/#access-key上的要求為用戶附加了自定義策略。
這是政策:
custom policy with locked down permissions and bucket name
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::myclient-grafana-images"
}
]
}
不幸的是,這沒有用,並且可以在我的grafana日志中看到訪問被拒絕的錯誤。 用戶試圖將映像寫入存儲桶,並最終添加了針對s3完全訪問權限的AWS預定義策略。 這設法使它起作用
s3 full access policy
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": "*"
}
]
}
問題是試圖將策略鎖定在我需要的存儲桶中。 我嘗試使用完全訪問策略創建一個新策略,並更新了通配符以引用s3 arn,但這也不起作用。
有關鎖定策略的最佳方法的任何建議。
PutObject
和PutObjectAcl
操作對對象起作用,而不對存儲桶起作用。
這意味着您的Resource
鍵應代表對象 。 對象的ARN以存儲區名稱開頭,后跟/
和路徑。
如果您希望能夠在存儲桶中放置任何對象(請注意/*
),則應通過以下方式調整策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::myclient-grafana-images/*"
}
]
}
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.