【发布时间】:2021-08-08 13:14:17
【问题描述】:
- 我有一个带有“ecsInstanceRole”的计算环境。它包含策略“AmazonS3FullAccess”和“AmazonEC2ContainerServiceforEC2Role”
- 由于我使用的是 AmazonS3FullAccess 策略,我假设批处理作业有权列出、复制、放置等。
- 我使用的图像是一个自定义 docker 图像,它有一个使用“aws s3 ls
”的启动脚本 - 当我在 EC2 实例上启动此映像时,它运行良好并列出了存储桶的内容
- 当我执行与批处理作业相同的操作时,我收到上面看到的拒绝访问错误。
我不明白这是怎么回事。
到目前为止我尝试过的事情:
- 存储桶策略为
.
{
"Version": "2012-10-17",
"Id": "Policy1546414123454",
"Statement": [
{
"Sid": "Stmt1546414471931",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<Account Id>:root"
},
"Action": [
"s3:ListBucket",
"s3:ListBucketVersions"
],
"Resource": [
"arn:aws:s3:::"bucketname",
"arn:aws:s3:::bucketname/*"
]
}
]
}
- 授予对存储桶的公共访问权限
【问题讨论】:
-
如果您使用 IAM 角色,则不需要存储桶策略。 (此外,在
bucketname之前,该策略中有一个小错字,但我认为这是由于复制和粘贴错误造成的。)似乎尚未为您的 ECS 任务分配角色:IAM Roles for Tasks - Amazon Elastic Container Service跨度> -
@JohnRotenstein 谢谢你的回答!它终于开始工作了。我将 S3 访问策略附加到我当前的工作角色,现在它执行得很好。再次感谢:)
标签: amazon-web-services amazon-s3 aws-batch aws-permissions