【以下的问题经过翻译处理】 在A账户中,我有一个存储桶。该存储桶被配置为阻止所有公共访问,并允许来自cloudfront的GetObject请求,其“aws:ResourceOrgID”与我的orgId相匹配。
在B账户(我的组织内部),我可以创建一个OriginAccessControl,并使用此控制台,手动将url bucketname.s3.region.amazonaws.com添加为s3源,使用此OriginAccessControl,我可以从cloudformation访问文件。
(我还验证了来自组织外部的帐户不可能进行此操作,我认为我的存储桶策略没问题)
尝试使用cloudformation配置完全相同的源会导致以下错误:
Resource handler returned message: "Access denied for operation 'Access Denied. (Service: CloudFront, Status Code: 403, Request ID: ....
我认为,cloudformation要么尝试在后台验证存储桶是否可访问,要么尝试更改存储桶权限。
不幸的是,将存储桶策略操作更改为* for resources BucketName,BUcketname/*没有帮助。
为什么控制台不会造成此故障而cloudformation会造成此故障?