Wie behebe ich Fehler vom Typ 403 Zugriff verweigert in einem Amazon S3 Bucket mit öffentlichem Lesezugriff?

Lösung

Wenn Sie nicht auf Objekte aus einem öffentlichen S3 Bucket zugreifen können, führen Sie das Automatisierungsrunbook AWSSupport-TroubleshootS3PublicRead auf AWS Systems Manager aus. Das hilft Ihnen bei der Analyse einiger Berechtigungseinstellungen, die sich auf den Bucket und die Objekte auswirken, z. B. die Bucket-Richtlinie und die Zugriffssteuerungslisten (ACLs) für das Objekt.

**Hinweis:**Das AWSSupport-TroubleshootS3PublicRead-Runbook analysiert Fehler vom Typ 403 von öffentlich lesbaren Objekten. Das Dokument bewertet keine Berechtigungen für private Objekte.

1. Öffnen Sie die Systems-Manager-Konsole.
2. Wählen Sie im Navigationsbereich Automatisierung aus.
3. Wählen Sie Automatisierung ausführen.
4.     Wählen Sie unter Dokument auswählen die Registerkarte Im Besitz von Amazon.
5.     Geben Sie in der Suchleiste für Automatisierungsdokumente AWSSupport-TroubleshootS3PublicRead ein, und drücken Sie dann die Eingabetaste.
6.     Wählen Sie AWSSupport-TroubleshootS3PublicRead aus.
7. Wählen Sie Automatisierung ausführen.
8.     Wählen Sie Einfache Ausführung.
9.     (Optional) Für AutomationAssumeRole können Sie eine AWS Identitäts- und Zugriffsmanagement (IAM)-Rolle auswählen, die Systems Manager übernehmen kann, um Anfragen an Ihren Bucket zu senden. Wenn Sie dieses Feld leer lassen, verwendet Systems Manager Ihre aktuelle IAM-Identität, um das Runbook einzurichten.
   **Wichtig:**Die Vertrauensrichtlinie der ausgewählten IAM-Rolle muss es Systems Manager Automation ermöglichen, die Rolle zu übernehmen. Außerdem muss die IAM-Rolle über die erforderlichen Berechtigungen für das Runbook verfügen. Weitere Informationen finden Sie im Abschnitt Erforderliche IAM-Berechtigungen unter AWSSupport-TroubleshootS3PublicRead.
10.     Geben Sie für S3BucketName den Namen des S3 Buckets ein, den Sie beheben möchten.
11.     (Optional) Für S3PrefixName können Sie ein zu analysierendes Präfix angeben. Wenn Sie dieses Feld leer lassen, listet das Runbook den Bucket auf und wertet die ersten Objekte lexikografisch aus.
12.     (Optional) Für StartAfter können Sie den Schlüsselnamen angeben, ab dem das Runbook auflisten soll.
13.     Geben Sie für MaxObjects die maximale Anzahl von Objekten ein, die das Runbook auswerten soll. Der Standardwert ist fünf.
14.     Für IgnoreBlockPublicAccess empfiehlt es sich, den Wert auf falsch zu belassen.
    **Warnung:**Wenn Sie den Wert auf wahr ändern, werden die Einstellungen für Amazon S3 Block Public Access ignoriert, die den Zugriff blockieren könnten.
15.     Belassen Sie den Wert für HttpGet auf wahr, wenn das Runbook für jedes Objekt eine partielle HTTP-GET-Anfrage (das erste Byte) ausführen soll. Wenn Sie möchten, dass das Runbook eine vollständige GET-Anforderung ausführt, ändern Sie den Wert auf falsch.
16. Geben Sie für Verbose wahr ein, um während der Analyse detaillierte Informationen zu erhalten. Um nur Warn- und Fehlermeldungen zu sehen, geben Sie falsch ein.
17.     (Optional) Für CloudWatchLogGroupName können Sie einen Amazon-CloudWatch-Protokollgruppennamen eingeben, an den Sie die Analyseergebnisse senden möchten. Wenn Sie einen Namen angeben und die Protokollgruppe nicht existiert, versucht das Runbook, eine Protokollgruppe mit diesem Namen zu erstellen.
18.     (Optional) Für CloudWatchLogStreamName können Sie einen CloudWatch-Protokollstreamnamen eingeben, an den Sie die Analyseergebnisse senden möchten. Wenn Sie einen Namen angeben und die Protokollgruppe nicht existiert, versucht das Runbook, eine Protokollgruppe mit diesem Namen zu erstellen. Wenn Sie dieses Feld leer lassen, verwendet das Runbook die Ausführungs-ID des Runbooks als Protokollstreamnamen.
19.     Wählen Sie für ResourcenPartition die Partition aus, in der sich der S3 Bucket befindet. Die Optionen sind aws, aws-us-gov und aws-cn.
20.     (Optional) Geben Sie für Tags bis zu fünf Schlüssel-Wert-Paar-Tags ein.
21. Wählen Sie Ausführen.
22.     Verwenden Sie den Ausführungsstatus, um den Fortschritt des Runbooks zu verfolgen.
23.     Wenn der Status Erfolg lautet, überprüfen Sie die unter Ausgaben aufgeführten Ergebnisse. Die Ergebnisse können Fehlercodes für jedes Objekt enthalten, das das Runbook ausgewertet hat. Die Fehlercodes können helfen, die Ursache der Fehler vom Typ „Access Denied“ für anonyme Anfragen an jedes Objekt zu diagnostizieren.
    **Tipp:**Um das Ergebnis eines einzelnen Schritts in der Auswertung zu überprüfen, wählen Sie unter Ausgeführte Schritte die entsprechende Schritt-ID aus. Die ausgeführten Schritte sind unter Ausführungsstatus aufgeführt.