Comment puis-je corriger les erreurs 403 Accès refusé provenant d'un compartiment Amazon S3 avec accès public en lecture ?

Résolution

Si vous ne pouvez pas accéder aux objets à partir d'un compartiment S3 public, exécutez le runbook d'automatisation AWSSupport-TroubleshootS3PublicRead sur AWS Systems Manager. Cela vous permet d'analyser les paramètres d'autorisation qui affectent le compartiment et ses objets, notamment la politique du compartiment et les listes de contrôle d'accès (ACL) des objets.

Remarque : le runbook AWSSupport-TroubleshootS3PublicRead analyse les erreurs 403 provenant d'objets lisibles par le public. Il n'évalue pas les autorisations des objets privés.

1. Ouvrez la console Systems Manager.
2. Dans le volet de navigation, sélectionnez Automatisation.
3. Sélectionnez Exécuter l'automatisation.
4. Sous Choisir un document, sélectionnez l'onglet Propriété d'Amazon.
5. Dans la barre de recherche de Document d'automatisation, entrez AWSSupport-TroubleshootS3PublicRead, puis appuyez sur Entrée.
6. Sélectionnez AWSSupport-TroubleshootS3PublicRead.
7. Sélectionnez Exécuter l'automatisation.
8. Sélectionnez Exécution simple.
9. (Facultatif) Pour AutomationAssumeRole, vous pouvez sélectionner un rôle AWS Identity and Access Management (IAM) que la console Systems Manager joue pour transmettre des requêtes à votre compartiment. Si vous laissez ce champ vide, Systems Manager utilisera votre identité IAM actuelle pour configurer le runbook.
   Important : la politique de confiance du rôle IAM que vous sélectionnez doit autoriser Systems Manager Automation à assumer le rôle. Le rôle IAM doit aussi disposer des autorisations nécessaires pour le runbook. Référez-vous à la section **Autorisations IAM ** requises dans AWSSupport-TroubleshootS3PublicRead.
10. Pour S3BucketName, entrez le nom du compartiment S3 que vous souhaitez dépanner.
11. (Facultatif) Pour S3PrefixName, vous pouvez spécifier un préfixe à analyser. Si vous laissez ce champ vide, le runbook répertorie le compartiment et évalue les quelques premiers objets suivant une approche lexicographique.
12. (Facultatif) Pour StartAfter, vous pouvez spécifier le nom de la clé à partir de laquelle vous souhaitez que le runbook commence le répertoriage.
13. Pour MaxObjects, entrez le nombre maximum d'objets que vous souhaitez que le runbook évalue. La valeur par défaut est cinq.
14. Pour IgnoreBlockPublicAccess, il est recommandé de laisser la valeur faux.
    Avertissement : si vous remplacez la valeur par vrai, les paramètres de blocage de l'accès public d'Amazon S3 susceptibles de bloquer l'accès seront ignorés.
15. Pour HttpGet, laissez la valeur vrai si vous voulez que le runbook exécute une requête HTTP GET partielle (le premier octet) pour chaque objet. Si vous voulez que le runbook exécute une requête GET complète, remplacez la valeur par faux.
16. Pour Verbeuse, pour afficher des informations détaillées au cours de l'analyse, entrez vrai. Pour afficher seulement les messages d'avertissement et d'erreur, entrez faux.
17. (Facultatif) Pour CloudWatchLogGroupName, vous pouvez saisir un nom de groupe de journaux Amazon CloudWatch auquel vous voulez envoyer les résultats de l'analyse. Si vous spécifiez un nom et que le groupe de journaux n'existe pas, le runbook essaie de créer un groupe de journaux portant ce nom.
18. (Facultatif) Pour CloudWatchLogStreamName, vous pouvez entrer un nom de flux de journaux CloudWatch auquel vous voulez envoyer les résultats de l'analyse. Si vous spécifiez un nom et que le groupe de journaux n'existe pas, le runbook essaie de créer un groupe de journaux portant ce nom. Si vous laissez ce champ vide, le runbook utilise l'ID d'exécution du runbook comme nom du flux de journaux.
19. Pour ResourcePartition, sélectionnez la partition dans laquelle se trouve le compartiment S3. Les options proposées sont aws, aws-us-gov ou aws-cn.
20. (Facultatif) Pour les étiquettes, entrez jusqu'à cinq balises de paire clé-valeur.
21. Sélectionnez Exécuter.
22. Utilisez l'État d'exécution pour suivre la progression du runbook.
23. Dès que l'état indique un Succès, consultez les résultats répertoriés dans Sorties. Les résultats peuvent contenir des codes d'erreur pour chaque objet évalué par le runbook. Ces codes d'erreur permettent de déterminer la cause des erreurs Accès refusé pour les demandes anonymes adressées à chaque objet.
    Astuce : pour consulter le résultat d'une étape individuelle de l'évaluation, sélectionnez l'identifiant d'étape approprié sous Étapes exécutées. Les Étapes exécutées se trouvent sous l'État d'exécution.