Como solucionar problemas de erros 403 Acesso negado em um bucket do Amazon S3 com acesso de leitura pública?

Resolução

Se você não conseguir acessar objetos de um bucket público do S3, execute o runbook de automação AWSSupport-Troubleshoots3PublicRead no AWS Systems Manager. Isso ajuda você a analisar configurações de permissões que afetam o bucket e seus objetos, como a política de bucket e as listas de controle de acesso (ACLs) de objetos.

Observação: o runbook AWSSupport-TroubleshootS3PublicRead analisa erros 403 de objetos publicamente legíveis. Ele não avalia permissões para objetos particulares.

1. Abra o console do Systems Manager.
2. No painel de navegação, escolha Automação.
3. Escolha Executar automação.
4. Em Escolher documento, escolha a guia De propriedade da Amazon.
5. Na barra de pesquisa Documento de automação, insira AWSSupport-TroubleshootS3PublicRead e pressione Enter.
6. Escolha AWSSupport-TroubleshootS3PublicRead.
7. Escolha Executar automação.
8. Escolha Execução simples.
9. (Opcional) Para AutomationAssumeRole, você pode selecionar um perfil do AWS Identity and Access Management (IAM) que o Systems Manager assume para enviar solicitações ao seu bucket. Se você deixar esse campo em branco, o Systems Manager usará sua identidade atual do IAM para configurar o runbook.
   Importante: a política de confiança do perfil do IAM que você selecionou deve permitir que o Systems Manager Automation assuma o perfil. Além disso, o perfil do IAM deve ter as permissões necessárias para o runbook. Consulte a seção Permissões obrigatórias do IAM em AWSSupport-Troubleshoots3PublicRead.
10. Para S3BucketName, insira o nome do bucket do S3 que você deseja solucionar.
11. (Opcional) Para S3PrefixName, você pode especificar um prefixo a ser analisado. Se você deixar esse campo em branco, o documento listará o bucket e avaliará os primeiros objetos lexicograficamente.
12. (Opcional) Para StartAfter, você pode especificar o nome da chave a partir da qual deseja que o documento comece a ser listado.
13. Para MaxObjects, insira o número máximo de objetos que você deseja que o runbook avalie. O valor padrão é cinco.
14. Para IgnoreBlockPublicAccess, é uma prática recomendada deixar o valor como falso.
    Aviso: se você alterar o valor para verdadeiro, isso ignorará as configurações do Amazon S3 Block Public Access que podem bloquear o acesso.
15. Para HttpGet, deixe o valor como verdadeiro se quiser que o runbook execute uma solicitação HTTP GET parcial (o primeiro byte) para cada objeto. Se você quiser que o runbook execute uma solicitação GET completa, altere o valor para falso.
16. Em Verbose, para ver informações detalhadas durante a análise, insira verdadeiro. Para ver somente mensagens de aviso e erro, digite falso.
17. (Opcional) Para CloudWatchLogGroupName, você pode inserir um nome de grupo de logs do Amazon CloudWatch para o qual deseja enviar os resultados da análise. Se você especificar um nome e o grupo de logs não existir, o runbook tentará criar um grupo de logs com esse nome.
18. (Opcional) Para o CloudWatchLogStreamName, você pode inserir um nome de fluxo de logs do CloudWatch ao qual deseja enviar os resultados da análise. Se você especificar um nome e o grupo de logs não existir, o runbook tentará criar um grupo de logs com esse nome. Se você deixar esse campo em branco, o runbook usará o ID de execução do runbook como nome do fluxo de logs.
19. Para ResourcePartition, selecione a partição na qual o bucket do S3 se encontra. As opções são aws, aws-us-gov ou aws-cn.
20. (Opcional) Para Etiquetas, insira até cinco etiquetas de pares de chave-valor.
21. Escolha Executar.
22. Use Status de execução para acompanhar o progresso do runbook.
23. Depois que o status indicar Êxito, revise os resultados listados em Saídas. Os resultados podem incluir códigos de erro para cada objeto avaliado pelo runbook. Use esses códigos de erro para diagnosticar a causa dos erros de Acesso negado para solicitações anônimas a cada objeto.
    Dica: para revisar o resultado de uma etapa individual na avaliação, escolha o ID de etapa relevante em Etapas executadas. As opções para Etapas executadas estão abaixo do Status de execução.