AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Como soluciono erros de Access Denied quando usuários do IAM de outra conta da AWS tentam acessar meu bucket do Amazon S3?

8 minuto de leitura

Minha política de bucket do Amazon Simple Storage Service (Amazon S3) concede acesso total a outra conta da AWS. No entanto, quando usuários do AWS Identity and Access Management (AWS IAM) da outra conta tentam acessar meu bucket, eles recebem um erro de “Access Denied”.

Breve descrição

Se sua política de bucket já concede acesso à outra conta, os usuários de várias contas podem receber erros de acesso negado pelos seguintes motivos:

A política do IAM do usuário não concede acesso ao bucket.
O objeto é criptografado pelo AWS Key Management Service (AWS KMS) e o usuário não tem acesso à chave do AWS KMS.
Uma declaração de negação na política de bucket ou na política do IAM está bloqueando o acesso do usuário.
A política de endpoint da Amazon Virtual Private Cloud (Amazon VPC) está bloqueando o acesso ao bucket.
A política de controle de serviços da AWS Organizations está bloqueando o acesso ao bucket.
O objeto não pertence à conta proprietária do bucket.
Você ativou o Requester Pays para o bucket do Amazon S3.
Você aprovou uma política de sessão que está bloqueando o acesso ao bucket.

Resolução

Observação: Se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

A política do IAM do usuário não concede acesso ao bucket

Para acesso entre contas, certifique-se de conceder acesso ao bucket na política do IAM na Conta A e na política de bucket na Conta B.

Para adicionar permissões de bucket à política do IAM na conta dos usuários, conclua as seguintes etapas:

Abra o console do IAM.
No painel de navegação, selecione os usuários ou funções do IAM que não podem acessar o bucket.
Em Políticas de permissões, expanda cada política para ver seu documento de política JSON.
Nos documentos de política JSON que contêm o nome do bucket, confirme se as políticas permitem as ações corretas do S3 no bucket.

Se o usuário ou o perfil do IAM não conceder acesso ao bucket, adicione uma política que conceda as permissões corretas.
O exemplo de política do IAM a seguir concede ao usuário acesso para baixar objetos na solicitação getObject do DOC-EXAMPLE-BUCKET:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExampleStmt",
            "Action": "s3:GetObject",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ]
        }
    ]
}

Observação: se você usa perfis de instância ou assume um perfil, certifique-se de que sua política tenha as permissões corretas.

Você criptografou o objeto com o AWS KMS

Se a política do IAM e a política de bucket concederem acesso entre contas, verifique a criptografia padrão no bucket com o AWS KMS. Ou verifique as propriedades do objeto para a criptografia do AWS KMS. Se você criptografou o objeto com uma chave KMS, o usuário também deverá ter permissões para usar a chave.

Para conceder a um usuário do IAM as permissões para baixar e fazer upload em um bucket e usar a chave do AWS KMS, conclua as seguintes etapas:

Edite a política de chaves do KMS para adicionar a seguinte declaração:

{
    "Sid": "ExampleStmt",
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:user/Jane"
    },
    "Resource": "*"
}

Observação: substitua o ARN de exemplo pelo ARN da sua entidade principal.

Se a chave do AWS KMS pertencer à mesma conta do usuário do IAM, você não precisará atualizar a política de chave. Se a chave do AWS KMS pertencer à sua conta, você deverá atualizar as permissões do usuário do IAM para adicionar a seguinte declaração de política do IAM:

{
    "Sid": "KMSAccess",
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Effect": "Allow",
    "Resource": "arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
}

Observação: substitua o ARN da chave KMS de exemplo pelo ARN da sua chave KMS.

Para obter mais informações, consulte Por que usuários de várias contas recebem erros de Access Denied quando tentam acessar meus objetos do S3 que eu criptografei com uma chave gerenciada pelo cliente do AWS KMS?

Uma declaração de negação na política bloqueia o acesso dos usuários

Verifique a política de bucket e as políticas do IAM do usuário para ver se há declarações que neguem explicitamente o acesso do usuário ao bucket.

Para verificar sua política de bucket, conclua as etapas a seguir:

Abra o console do Amazon S3.
Na lista de buckets, abra o bucket com a política que você deseja verificar.
Escolha a guia Permissões.
Na política de bucket, verifique as declarações com “Efeito”: “Negar”.
Modifique a política do bucket para editar ou remover qualquer declaração “Efeito”: “Negar” que negam incorretamente o acesso do usuário ao bucket.

Para verificar as políticas de IAM dos usuários, conclua as seguintes etapas:

Abra o console do IAM.
No painel de navegação, selecione os usuários ou funções do IAM que não podem acessar o bucket.
Em Políticas de permissões, expanda cada política para visualizar os documentos da política JSON.
Nos documentos de política JSON relacionados ao bucket do S3, verifique se há declarações que contenham “Efeito”: “Negar”.
Modifique as políticas de permissões do IAM do usuário para editar ou remover instruções “Efeito”: “Negar” que negam incorretamente o acesso do usuário ao bucket.

A política de endpoint da VPC bloqueia o acesso ao bucket

Se os usuários acessarem o bucket com uma instância do Amazon Elastic Compute Cloud (Amazon EC2) roteada por meio de um endpoint da VPC, verifique a política de endpoint da VPC. Confirme se a política de endpoint da VPC inclui as permissões corretas para acessar o bucket do S3.

O exemplo de política de endpoint da VPC permite acesso a DOC-EXAMPLE-BUCKET:

{
    "Id": "Policy1234567890123",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1234567890123",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ],
            "Principal": "*"
        }
    ]
}

Aviso: o elemento “Entidade principal”: “*” concede acesso ao bucket a todos que usam o endpoint da VPC. Certifique-se de restringir o escopo do valor Entidade principal conforme apropriado para seu caso de uso.

O SCP da organização bloqueia o acesso ao bucket

Se a conta do usuário usar Organizações, verifique se há declarações Negar nos SCPs que bloqueiam o acesso ao bucket.

O exemplo de política a seguir nega explicitamente o acesso ao Amazon S3:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": "*"
        }
    ]
}

O objeto não pertence à conta proprietária do bucket

Por padrão, a conta que carrega o objeto é proprietária do objeto, mesmo quando outra conta é proprietária do bucket. As permissões do bucket não se aplicam automaticamente a um objeto de propriedade de uma conta diferente.

Para resolver os erros de Access Denied da propriedade de objetos do S3, use as seguintes práticas recomendadas:

Aplique a configuração imposta pelo proprietário do bucket para S3 Object Ownership para desativar as listas de controle de acesso (ACLs) para seus buckets.
Se você não quiser desativar as ACLs para impor a propriedade de objetos novos, aplique a configuração preferida do proprietário do bucket. Certifique-se de atualizar sua política de bucket para exigir a ACL predefinida de controle total do proprietário do bucket para todas as solicitações PUT do seu bucket. O proprietário do objeto pode executar o seguinte put-object-acl para conceder acesso ao proprietário do bucket:
```
aws s3api put-object-acl --bucket examplebucket --key keyname --acl bucket-owner-full-control
```
Observação: para acessar o objeto, o proprietário do objeto deve conceder acesso explicitamente ao proprietário do bucket. Use a conta do proprietário do objeto para executar o comando anterior.

Você ativou o Requester Pays

Se você ativou o Requester Pays para seu bucket, os usuários de outras contas devem especificar o parâmetro x-amz-request-payer.

Os usuários devem realizar as seguintes ações:

Para solicitações DELETE, GET, HEAD, POST e PUT, inclua x-amz-request-payer : requester no cabeçalho.
Para URLs assinados, inclua x-amz-request-payer=requester na solicitação.

Para comandos da AWS CLI, inclua o parâmetro --request-payer:

aws s3 cp exampleobject.jpg s3://DOC-EXAMPLE-BUCKET/exampleobject.jpg --request-payer requester

Uma política de sessão bloqueou o acesso ao bucket

Certifique-se de que a política de sessão que você aprovou não bloqueie o acesso ao bucket do S3.

Informações relacionadas

Como soluciono erros 403 Access Denied do Amazon S3?

Um usuário com permissão para adicionar objetos ao meu bucket do Amazon S3 está recebendo erros de Access Denied. Por quê?

Tópicos: Storage
Tags: Amazon Simple Storage Service
Idioma: Português

AWS OFICIALAtualizada há um ano

Sem comentários

Conteúdo relevante

Erro em restauração de banco do S3 para o RDS SQL Server entre contas - "Access Denied" em Restore Cross-Account
Resposta aceita
Rafael Pinheiro
feita há 3 meses
Stardew Valley APK (Mobile Android) Problema de acesso público e CORS no bucket S3
entrenamne
feita há 2 meses
Acesso de novos usuarios ao Amazon S3
Kleber FIleno
feita há 9 meses
ValidationException: Operation not allowed when invoking Amazon Bedrock model in Playground
Resposta aceita
leo
feita há 3 meses
GTA San andreas v2.11.277 (media) - Problema de acesso e corrupção de arquivo no S3 Bucket
tankaracutankme
feita há 2 meses
Por que usuários de várias contas recebem erros de acesso negado ("Access Denied") quando acessam meus objetos do Amazon S3 que eu criptografei com uma chave gerenciada pelo cliente do AWS KMS?
AWS OFICIALAtualizada há 3 meses
Um usuário com permissão para adicionar objetos ao meu bucket do Amazon S3 está recebendo erros de acesso negado. Por que isso acontece?
AWS OFICIALAtualizada há um ano
Como soluciono erros “Access denied” para operações de cópia entre contas no AWS Backup?
AWS OFICIALAtualizada há 3 meses
Como posso conceder a um usuário em outra conta da AWS o acesso para fazer upload de objetos para o meu bucket do Amazon S3?
AWS OFICIALAtualizada há 2 anos
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 5 meses