通過 AWS 控制台訪問根帳戶時，使用 CloudFront 403 錯誤上傳的文件

Question

通過 CloudFront 原始訪問身份通過 CloudFront 將文件上傳到 s3 存儲桶成功運行，但是上傳文件的屬性無法修改，並且我的 AWS 賬戶的根用戶無法訪問某些元數據。 我能夠通過 CloudFront 端點獲取文件，但是我不明白為什么我無法通過 AWS 管理控制台通過我的 AWS 根賬戶修改或訪問上傳文件的某些字段。

s3 存儲桶中的默認 ACL 用於 root 用戶帳戶，如下所示：

我在我的存儲桶中添加了第二個策略，只是為了確保 root 用戶具有對文件的顯式訪問權限。 完整的存儲桶策略如下所示：

{
    "Version": "2008-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity 00000000000000"
                ]
            },
            "Action": [
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket/stuff/",
                "arn:aws:s3:::my-bucket/stuff/*",
                "arn:aws:s3:::my-bucket/other-stuff/",
                "arn:aws:s3:::my-bucket/other-stuff/*"
            ]
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::000000000000:root"
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::my-bucket/stuff/",
                "arn:aws:s3:::my-bucket/stuff/*",
                "arn:aws:s3:::my-bucket/other-stuff/",
                "arn:aws:s3:::my-bucket/other-stuff/*"
            ]
        }
    ]
}

當我查看通過 CloudFront 上傳的文件時，我在文件概覽選項卡上收到許多選項的拒絕訪問：

我還從同一文件的文件屬性選項卡中收到更多拒絕訪問：

Answer 1

您需要通過使用 CloudFront 鏈接進行的 PUT/POST 調用傳遞 ACL “Bucket-owner-full-control” ，還需要修改 CloudFront 的存儲桶策略以允許您使用 PutobjectACL。