¿Por qué aparece la excepción de AmazonS3Exception «Acceso denegado con código de estado: 403» en Amazon Athena cuando consulto un bucket de otra cuenta?

Breve descripción

Este error suele producirse cuando intenta consultar los registros escritos por otro servicio de AWS, como AWS CloudTrail, Amazon CloudFront y Amazon Virtual Private Cloud (Amazon VPC). Estos servicios registran eventos en Amazon S3. El propietario del bucket tiene acceso total a los objetos de S3. La segunda cuenta no es propietaria del bucket ni de los objetos. Por eso, la segunda cuenta recibe un error de acceso denegado al consultar una tabla de Athena que hace referencia a estos objetos de S3.

Resolución

No es posible transferir la propiedad de los objetos de Amazon S3. En su lugar, utilice una de las siguientes opciones:

• En la cuenta de Athena, asuma el rol de AWS Identity and Access Management (IAM) que tenga acceso tanto al bucket como a los objetos. Para obtener más información, consulte el Tutorial de IAM: delegación del acceso entre cuentas de AWS mediante roles de IAM.
• Siga las instrucciones que se indican en How can I copy S3 objects from another AWS account? para copiar los objetos a un bucket de la cuenta de Athena. A continuación, elimine cualquier objeto redundante o innecesario del bucket de destino para evitar cargos innecesarios.

Información relacionada

Why can't I access an object that was uploaded to my Amazon S3 bucket by another AWS account?

How do I transfer the ownership of Amazon S3 objects to a different AWS account?

Why do I get the "Access Denied" error when I run a query in Amazon Athena?