Tôi thực sự loanh quanh trong AWS đang cố gắng tìm ra những gì tôi đang thiếu ở đây. Tôi muốn làm cho nó để người dùng IAM có thể tải xuống các tệp từ nhóm S3 - mà không làm cho các tệp hoàn toàn công khai - nhưng tôi bị từ chối truy cập. Nếu bất cứ ai có thể phát hiện ra những gì tôi sẽ bị đánh cắp.
Những gì tôi đã làm cho đến nay:
- Tạo một người dùng được gọi là my-user (ví dụ)
- Đã tạo các khóa truy cập cho người dùng và đặt chúng vào ~ / .aws trên phiên bản EC2
- Tạo chính sách xô mà tôi hy vọng cấp quyền truy cập cho người dùng của tôi
- Chạy lệnh
aws s3 cp --profile my-user s3://my-bucket/thing.zip .
Chính sách xô:
{
"Id": "Policy1384791162970",
"Statement": [
{
"Sid": "Stmt1384791151633",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::my-bucket/*",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/my-user"
}
}
]
}
Kết quả là A client error (AccessDenied) occurred: Access Denied
mặc dù tôi có thể tải xuống bằng cùng một lệnh và các khóa truy cập mặc định (tài khoản gốc?).
Tôi cũng đã thử thêm chính sách người dùng. Mặc dù tôi không biết tại sao nó lại cần thiết nhưng tôi nghĩ nó sẽ không đau, vì vậy tôi đã đính kèm nó với người dùng của mình.
{
"Statement": [
{
"Sid": "Stmt1384889624746",
"Action": "s3:*",
"Effect": "Allow",
"Resource": "arn:aws:s3:::my-bucket/*"
}
]
}
Kết quả tương tự.