1

AWS コンソールから S3 のオブジェクトの名前を変更しようとしています。

2 つのポリシーをアタッチしたロールがあります。

「読み取り」権限

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetAccelerateConfiguration",
                "s3:GetAnalyticsConfiguration",
                "s3:GetBucketAcl",
                "s3:GetBucketCORS",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketNotification",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetBucketRequestPayment",
                "s3:GetBucketTagging",
                "s3:GetBucketVersioning",
                "s3:GetBucketWebsite",
                "s3:GetEncryptionConfiguration",
                "s3:GetInventoryConfiguration",
                "s3:GetLifecycleConfiguration",
                "s3:GetMetricsConfiguration",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectTagging",
                "s3:GetObjectTorrent",
                "s3:GetObjectVersion",
                "s3:GetObjectVersionAcl",
                "s3:GetObjectVersionForReplication",
                "s3:GetObjectVersionTagging",
                "s3:GetObjectVersionTorrent",
                "s3:GetReplicationConfiguration",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListBucketVersions",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::bfe-dp-test3-pos-lz",
                "arn:aws:s3:::bfe-dp-test3-pos-lz/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:HeadBucket"
            ],
            "Resource": "*"
        }
    ]
}

そして、「書き込み」権限のセット

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:CreateBucket",
                "s3:DeleteBucket",
                "s3:DeleteBucketWebsite",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetBucketLocation",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectTagging",
                "s3:GetObjectVersion",
                "s3:ListBucket",
                "s3:PutAccelerateConfiguration",
                "s3:PutAnalyticsConfiguration",
                "s3:PutBucketCORS",
                "s3:PutBucketLogging",
                "s3:PutBucketNotification",
                "s3:PutBucketRequestPayment",
                "s3:PutBucketVersioning",
                "s3:PutBucketWebsite",
                "s3:PutEncryptionConfiguration",
                "s3:PutInventoryConfiguration",
                "s3:PutLifecycleConfiguration",
                "s3:PutMetricsConfiguration",
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:PutObjectTagging",
                "s3:PutReplicationConfiguration",
                "s3:ReplicateDelete",
                "s3:ReplicateObject",
                "s3:RestoreObject"
            ],
            "Resource": [
                "arn:aws:s3:::bfe-dp-test3-pos-lz",
                "arn:aws:s3:::bfe-dp-test3-pos-lz/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:HeadBucket"
            ],
            "Resource": "*"
        }
    ]
}

それでも、AWS コンソールを介してファイル (オブジェクト) の名前を変更しようとすると、失敗したというエラー メッセージが詳細なしで表示されます...

どの追加の許可が欠落している可能性がありますか?

4

2 に答える 2

1

自分のバケットで問題を再現しようとしましたが、2 つのポリシーに問題は見つかりませんでした。

私の確認プロセス:

  1. 2 つの管理ポリシーを作成します。説明したように 1つとread1 つwriteです。
  2. 2 つのポリシーを含むIAM ロールを作成します。信頼ポリシーはサンドボックス アカウントでしたarn:aws:iam::xxxx:root
  3. ステップ 2 で作成した役割を引き受けるために、コンソールを使用して役割を切り替えます。
  4. 引き受けたロールにいる間、バケット内のオブジェクトの名前を変更しようとしましたが、問題は見つかりませんでした。オブジェクトをバケットにアップロードすることもできます。

したがって、何か他のことが起こっているように私には思えます。ロール内の他のポリシーに問題がある可能性がありますか? または、バケットに一部のポリシーで一部のアクションが拒否されていますか? コメントで説明されているように、オブジェクトが暗号化されている場合、ロールには追加のKMSアクセス許可が必要です。

于 2020-07-06T12:44:47.550 に答える