S3桶到桶复制时STS assume role相关的权限问题

Question

【以下的问题经过翻译处理】 客户已经确认STS assumed role正常工作，并且可以将本地文件复制到S3存储桶中。

他们遇到的问题是存储桶到存储桶的复制。他们需要哪个IAM策略语句才能实现该功能？除了允许添加和列出对象的权限，是否还需要其他S3权限才能使复制工作？

他们已经确认可以通过普通的本地上传操作进行文件上传，但是从一个存储桶到另一个存储桶的复制无法工作。

这是否需要一个存储桶策略？由于他们使用assumerole，是否与这个有关？

Answer

【以下的回答经过翻译处理】 他们需要在源存储桶上执行GetObject、ListBucket操作。另外他们还需要在目的存储桶上执行PutObject操作。

权限问题不在于命令在哪里执行，而是在于执行命令的对象。

您可以通过存储桶策略或角色来完成此操作。使用存储桶策略需要标识身份主体，我认为会更繁琐一些。

以下是使用角色的示例：将下列policy附加到角色的IAM policy中，并将角色附加到EC2实例或EC2用户上。

以下是策略示例：

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SourceBucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-a",
                "arn:aws:s3:::bucket-a/*"
            ]
        },
        {
            "Sid": "DestBucket",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-b",
                "arn:aws:s3:::bucket-b/*"
            ]
        }
    ]
}

```

S3桶到桶复制时STS assume role相关的权限问题

Relevanter Inhalt