[英]AWS S3 Access point access denied from EC2 (VPC)
我有以下場景,我嘗試使用訪問點訪問 S3 存儲桶內容,但是出現AccessDenied
錯誤。
my-test-bucket
和訪問點“my-test-ap”,提供默認策略和 VPC ID 以限制通過 Internet 的訪問ssh
到 EC2 實例並運行命令 - aws s3 ls --Bucket my-test-bucket
或aws s3api list-objects --bucket -my-test-bucket
,列出aws s3api list-objects --bucket -my-test-bucket
中的所有內容aws s3api list-objects --bucket arn:aws:s3:us-east-1:my-account-id:accesspoint/my-test-ap
給我“AccessDenied”消息接入點策略
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:us-east-1:my-account-id:accesspoint/my-test-ap",
"Condition": {
"StringEquals": {
"s3:AccessPointNetworkOrigin": "VPC"
}
}
}
]
}
請注意確定缺少什么才能使其正常工作。
為了重現您的情況,我執行了以下操作:
Network origin = VPC
然后我嘗試使用以下方法訪問存儲桶:
aws s3api list-objects-v2 --bucket arn:aws:s3:ap-southeast-2:1111:accesspoint/my-access-point
結果: AccessDenied
然后我添加了一個VPC Endpoint ,因為創建訪問點 - Amazon Simple Storage Service說:
要將訪問點與 VPC 一起使用,您必須修改 VPC 終端節點的訪問策略。 VPC 終端節點允許流量從您的 VPC 流向 Amazon S3。 它們具有訪問控制策略,用於控制允許 VPC 內的資源與 S3 交互的方式。 如果 VPC 終端節點策略授予對訪問點和底層存儲桶的訪問權限,則從您的 VPC 到 S3 的請求僅通過訪問點成功。
然后我能夠成功訪問存儲桶。
因此,從 VPC 訪問 S3 接入點時,似乎需要 VPC 端點。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.