Por que estou recebendo uma mensagem de erro de acesso negado quando faço upload de arquivos para o meu bucket do Amazon S3 que tem a criptografia padrão do AWS KMS?

4 minuto de leitura

Meu bucket do Amazon Simple Storage Service (Amazon S3) tem criptografia padrão do AWS Key Management Service (AWS KMS). Estou tentando fazer upload de arquivos para o bucket, mas o Amazon S3 retorna uma mensagem de erro de acesso negado. Como posso corrigir isso?

Resolução

Primeiro, confirme se:

Seu usuário ou perfil do AWS Identity and Access Management (IAM) tem permissão s3:PutObject no bucket.
Sua chave do AWS KMS não tem um alias “aws/s3". Esse alias não pode ser usado para criptografia de bucket padrão se as entidades principais do IAM entre contas estiverem carregando os objetos. Para mais informações sobre as chaves do AWS KMS e o gerenciamento de políticas, consulte Proteção de dados usando criptografia do lado do servidor com o AWS Key Management Service (SSE-KMS).

Em seguida, atualize as permissões do AWS KMS do seu usuário ou perfil do IAM com base na mensagem de erro que você recebe.

Importante:

Se a chave do AWS KMS e o perfil do IAM pertencerem a contas diferentes da AWS, a política do IAM e a política de chave do KMS deverão ser atualizadas. Certifique-se de adicionar as permissões do KMS à política do IAM e à política de chave do KMS.
Para usar uma política do IAM para controlar o acesso a uma chave do KMS, a política de chave da chave do KMS deve dar permissão à conta para usar as políticas do IAM.

“Ocorreu um erro (AccessDenied) ao chamar a operação PutObject: acesso negado”

Essa mensagem de erro indica que seu usuário ou perfil do IAM precisa de permissão para a ação kms:GenerateDataKey.

Siga estas etapas para adicionar permissão para kms:GenerateDataKey:

1. Abra o console do IAM.

2. Escolha o usuário ou o perfil do IAM que você está usando para fazer upload de arquivos para o bucket do Amazon S3.

3. Na guia Permissões, expanda cada política para ver seu documento de política JSON.

4. Nos documentos de política JSON, procure políticas relacionadas a acesso ao AWS KMS. Revise as declarações com “Efeito”: “Permitir” para verificar se o usuário ou o perfil tem permissões para a ação kms:GenerateDataKey na chave do AWS KMS do bucket.

5. Se essa permissão estiver ausente, adicione-a à política apropriada. Para obter instruções, consulte Adicionar permissões a um usuário (console) ou Modificar uma política de permissões de perfil (console).

6. Nos documentos de política JSON, procure declarações com “Efeito”: “Negar”. Confirme se essas declarações não negam a ação s3:PutObject no bucket. As declarações não devem negar ao usuário ou perfil do IAM o acesso à ação kms:GenerateDataKey na chave usada para criptografar o bucket. Além disso, as permissões necessárias do KMS e do S3 não devem ser restritas ao usar políticas de endpoint da VPC, políticas de controle de serviços, limites de permissões ou políticas de sessão.

“Ocorreu um erro (AccessDenied) ao chamar a operação CreateMultipartUpload: acesso negado”

Essa mensagem de erro indica que seu usuário ou perfil do IAM precisa de permissão para as ações kms:GenerateDataKey e kms:Decrypt.

Siga estas etapas para adicionar permissões para kms:GenerateDataKey e kms:Decrypt:

1. Abra o console do IAM.

2. Escolha o usuário ou o perfil do IAM que você está usando para fazer upload de arquivos para o bucket do Amazon S3.

3. Na guia Permissões, expanda cada política para ver seu documento de política JSON.

4. Nos documentos de política JSON, procure políticas relacionadas a acesso ao AWS KMS. Revise as declarações com “Efeito”: “Permitir” para verificar se o perfil tem permissões para kms:GenerateDataKey e kms:Decrypt na chave do AWS KMS do bucket.

5. Se essas permissões estiverem ausentes, adicione-as à política apropriada. Para obter instruções, consulte Adicionar permissões a um usuário (console) ou Modificar uma política de permissões de perfil (console).

6. Nos documentos de política JSON, procure declarações com “Efeito”: “Negar”. Em seguida, confirme se essas declarações não negam a ação s3:PutObject no bucket. As declarações não devem negar ao usuário ou perfil do IAM o acesso às ações kms:GenerateDataKey e kms:Decrypt na chave usada para criptografar o bucket. Além disso, as permissões necessárias do KMS e do S3 não devem ser restritas ao usar políticas de endpoint da VPC, políticas de controle de serviços, limites de permissões ou políticas de sessão.

Informações relacionadas

Definir o comportamento padrão de criptografia do lado do servidor para buckets do Amazon S3

Tópicos

Armazenamento

Vídeos relacionados

Assista ao vídeo de Kartik para saber mais (6:34)

AWS OFICIALAtualizada há 3 anos

Sem comentários

Conteúdo relevante

Servidor não Liga
Evandro
feita há 2 meses
A AWS emite algum documento comprovando para fins legais que a gente tá usando a infraestrutura e serviços da AWS?
Resposta aceita
Marcos Abreu
feita há 2 meses
Tem alguma maneira de conseguir um voucher ou desconto no exame cloud practitioner
Ana Caroline Dal Molin
feita há 20 dias
Log de erro no Histórico do CloudWatch, porém funcionado o invoke da Lambda, envio de SNS, alerta de alarme no CloudWatch
Resposta aceita
Jovando
feita há 19 dias
Erro ao configurar o route53 com Cloudfront
Leandro Garcia
feita há 3 dias
Por que usuários de várias contas recebem erros de acesso negado quando tentam acessar meus objetos do S3 que eu criptografei com uma chave gerenciada pelo cliente do AWS KMS?
AWS OFICIALAtualizada há um ano
Por que estou recebendo um erro “403 Forbidden” (Proibido) quando tento carregar arquivos no Amazon S3?
AWS OFICIALAtualizada há 3 anos
Por que recebo erros de Acesso Negado quando uso uma função do Lambda para fazer upload de arquivos para um bucket do Amazon S3 em uma outra conta da AWS?
AWS OFICIALAtualizada há 2 anos
Meu bucket do Amazon S3 tem criptografia padrão usando uma chave personalizada do AWS KMS. Como permitir que os usuários façam download pelo bucket e upload para o bucket?
AWS OFICIALAtualizada há 3 anos