Como corrigir uma política de bucket quando ela tem o ID da VPC ou do endpoint da VPC errado?

5 minuto de leitura

Meu bucket do Amazon Simple Storage Service (Amazon S3) especifica IDs incorretos da Amazon Virtual Private Cloud (Amazon VPC) ou do endpoint da VPC. Quero corrigir a política para poder acessar o bucket novamente.

Resolução

Observação:

Se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solucionar erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.
Em cada comando da AWS CLI, substitua example_bucket pelo seu bucket do Amazon S3.

O ID da VPC ou o ID do endpoint da VPC é válido, mas é da VPC errada

Observação: se você especificou um ID de VPC na política de bucket, é preciso associar um endpoint da VPC à VPC. Caso contrário, você não poderá atualizar o bucket.

Conclua as seguintes etapas:

Conecte-se a uma instância do Amazon Elastic Compute Cloud (Amazon EC2) que esteja na VPC permitida.
Observação: a instância do Amazon EC2 também deve usar uma tabela de rotas que permita o tráfego para o Amazon S3 por meio do endpoint da VPC. Além disso, a instância deve ter um perfil ou credenciais com permissão para acessar o bucket do S3.

Na instância, execute o comando get-bucket-policy da AWS CLI para obter a política do bucket:

aws s3api get-bucket-policy --bucket example_bucket

Importante: copie a política de bucket existente para usar em uma etapa posterior.

Exclua a política de bucket:

aws s3api delete-bucket-policy --bucket example_bucket

Edite a política de bucket anterior para apontar para a VPC ou endpoint da VPC correto. Ou, se você não precisar que a VPC restrinja acesso, remova a restrição da VPC.
Salve a política corrigida no formato JSON.

Em uma conta da AWS com acesso ao bucket, execute o comando put-bucket-policy para adicionar a política de bucket corrigida ao bucket:

aws s3api put-bucket-policy --bucket example_bucket --policy file://policy.json

O ID da VPC ou o ID do endpoint da VPC não é válido

Se o ID da VPC ou o ID do endpoint da VPC na política de bucket for inválido ou tiver sido digitado incorretamente, você receberá um erro. Para atualizar a política, é preciso ter acesso de usuário raiz à conta. Você não pode editar ou remover uma política somente com acesso em nível de administrador.

Observação: esses procedimentos não se aplicam ao AWS GovCloud (EUA). Se você for um usuário do AWS GovCloud (EUA), entre em contato com o AWS Support para obter assistência.

Use o console do Amazon S3 para corrigir a política de bucket

Conclua as seguintes etapas:

Abra o console do Amazon S3 como usuário raiz.
Selecione o bucket do Amazon S3 que possui a política de bucket que você deseja excluir ou editar.
Observação: depois de abrir o bucket, você poderá ver um erro de Acesso negado no console. Você ainda pode prosseguir com as próximas etapas.
Selecione a visualização de Permissões.
Selecione Política de bucket.
Para excluir a política de bucket, escolha Excluir. Para editar somente o ID da VPC ou o ID do endpoint da VPC, corrija o ID no Editor de políticas de bucket e selecione Salvar.
Aviso: se você excluir a política de bucket, certifique-se de manter uma cópia da política de bucket existente para referência.

Use a AWS CLI para corrigir a política de bucket

Aviso: esse procedimento usa credenciais de usuário raiz (chaves de acesso). É uma prática recomendada usar credenciais de usuário raiz somente em cenários de emergência ou recuperação. Para obter mais informações, consulte Proteja suas credenciais de usuário raiz e não as use para tarefas diárias.

Conclua as seguintes etapas:

Execute o comando a seguir para configurar a AWS CLI:
```
aws configure
```
Insira suas credenciais de usuário raiz. Para instruções sobre como gerar as credenciais, consulte Criar chaves de acesso para o usuário raiz.

Verifique a política de bucket:

aws s3api get-bucket-policy --bucket example_bucket

Importante: copie a política de bucket existente para usar em uma etapa posterior.

Execute o comando a seguir para excluir a política de bucket:

aws s3api delete-bucket-policy --bucket example_bucket

Edite a política de bucket anterior para apontar para a VPC ou endpoint da VPC correto. Ou, se você não precisar que a VPC restrinja acesso, remova a restrição da VPC.
Salve a política corrigida no formato JSON.

Execute o comando put-bucket-policy para adicionar a política de bucket corrigida ao bucket:

aws s3api put-bucket-policy --bucket example_bucket --policy file://policy.json

Siga as práticas recomendadas da AWS

Depois de corrigir a política de bucket, siga estas práticas recomendadas:

Remova as credenciais da AWS CLI de usuário raiz que estão armazenadas na pasta de configuração do seu sistema operacional (SO). Para obter mais informações, consulte Configurações de arquivos de configuração e credenciais.
Use o Console de Gerenciamento da AWS para excluir as chaves de acesso raiz. Para obter instruções, consulte Excluir chaves de acesso do usuário raiz.

Informações relacionadas

Controlar o acesso a partir de VPC endpoints com políticas de bucket

Tópicos

Armazenamento

Vídeos relacionados

Assista ao vídeo de Jeremy para saber mais (3:25)

AWS OFICIALAtualizada há 6 meses

Conteúdo relevante

Como faço para acessar uma API privada do API Gateway quando o endpoint da VPC usa um DNS local?
AWS OFICIALAtualizada há 3 anos
Como resolvo o erro "endpoint does not support the Availability Zone" quando tento mapear um endpoint da Amazon VPC?
AWS OFICIALAtualizada há 7 meses
Como faço para solucionar problemas de conectividade ao usar endpoints da VPC de interface para me conectar ao bucket do Amazon S3?
AWS OFICIALAtualizada há 7 meses
Como limito o acesso ao meu bucket do Amazon S3 a um certo endpoint da VPC ou a um endereço IP em específico?
AWS OFICIALAtualizada há 2 anos