调用 PutObject 操作时发生客户端错误 (AccessDenied)：访问被拒绝答案

【问题标题】：A client error (AccessDenied) occurred when calling the PutObject operation: Access Denied调用 PutObject 操作时发生客户端错误 (AccessDenied)：访问被拒绝
【发布时间】：2021-06-14 04:49:46
【问题描述】：

我使用的配置有AdministrationAccess

存储桶配置了以下策略：

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "myPolicy",
        "Effect": "Allow",
        "Principal": {
            "AWS": "*"
        },
        "Action": "*",
        "Resource": [
            "arn:aws:s3:::bucket-name/*",
            "arn:aws:s3:::bucket-name"
        ]
    }
]

}

在受助者中：

所有四个操作的每个人

我无法想象比这更开放的桶，为什么我仍然收到错误

A client error (AccessDenied) occurred when calling the PutObject operation: Access Denied

【问题讨论】：

为什么在Resource中指定了两次bucket名称？
@error2007s 一个是bucket本身，另一个是bucket的内容。

标签： amazon-web-services amazon-s3

【解决方案1】：

使用此策略将适用于对存储桶的完全访问。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:GetBucketLocation"
      ],
      "Resource": "arn:aws:s3:::EXAMPLE-BUCKET-NAME"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetObject",
        "s3:DeleteObject"
      ],
      "Resource": "arn:aws:s3:::EXAMPLE-BUCKET-NAME/*"
    }
  ]
}

【讨论】：

存储桶策略编辑器给我以下错误“缺少必填字段 Principal - undefined”
什么桶策略编辑器？这是一个有效的政策检查这个截图我也在我的 AWS 账户中使用该政策imgur.com/VzDfZNc
通过 aws 控制台管理的存储桶策略编辑器。这是一个有效的 IAM 策略，是一个有效的 s3 存储桶策略吗？我的 IAM 角色拥有最高权限，即管理员
您是否尝试通过将存储桶名称更改为您的存储桶名称来应用该策略并检查您是否收到拒绝访问错误？上述政策也适用于 S3 "Resource": "arn:aws:s3"，为什么您在政策中两次提到存储桶的名称？
是的。我已将 example-bucket-name 更改为我的存储桶名称。并且错误仍然发生。 “你为什么在你的保单中两次提到存储桶的名称？” - 我也不知道，我猜一个是给桶本身的，另一个是给桶里的对象的

【解决方案2】：

根据AWS S3 documentation 示例，指定的tresource URI 应该是字符串，而不是数组。只要不是通配符。

"Resource": [
    "*"
]

或

"Resource": "arn:aws:s3:::bucket-name/*"

在指定 URI 时不要忘记尾随通配符。

【讨论】：