【发布时间】:2016-04-29 02:33:13
【问题描述】:
S3 的权限授予比较复杂。据我了解,root 帐户(使用电子邮件登录的帐户)应该可以访问任何内容,但存储桶中不属于它的对象除外(事实并非如此)。
我的设置:
> a root account, called: myroot a IAM user, called myiam, whose parent
> account is myroot
myiam 创建一个存储桶,名为 mybucket。如果没有授予权限,myroot 将无法访问它。
我查阅了aws文档(http://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-overview.html),认为不应该是这样的
默认情况下,所有 Amazon S3 资源都是私有的。只有资源所有者才能访问该资源。资源所有者是指创建资源的 AWS 账户。例如:
您用于创建存储桶和对象的 AWS 账户拥有这些 资源。如果您创建 AWS Identity and Access Management (IAM) 您的 AWS 账户中的用户,您的 AWS 账户是父所有者。如果 IAM 用户上传一个对象,即父账户,用户可以将其上传到该对象 属于,拥有该对象。
【问题讨论】:
-
您遇到什么错误? 403 被拒绝?
-
@Tom 不确定。我用控制台。它说“对不起!您无权查看此存储桶”
-
看看你是否对存储桶本身拥有正确的权限,也许你有一个像 S3 存储桶一样的东西,上面有一个明确的“拒绝”。请参阅我对以下链接的回答,其中我描述了对 S3 存储桶的访问,也许这是要检查的东西:stackoverflow.com/questions/31730317/…
-
@Tom 感谢您的回复。但是根帐户可以访问其帐户下的任何存储桶,不是吗?
-
如果您在 S3 存储桶上设置了具有明确拒绝的存储桶策略,那么即使根也无法描述该存储桶。例如:“效果”:“拒绝”、“主体”:“*”、“动作”:“s3:ListBucket”、“资源”:“arn:aws:s3:::your-bucket-name”
标签: amazon-web-services amazon-s3