Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
如何授予我的 EC2 实例对 S3 存储桶的访问权限?
2 分钟阅读
0
我无法从我的 Amazon Elastic Compute Cloud (Amazon EC2) 实例访问 Amazon Simple Storage Service(Amazon S3) 存储桶。
解决方案
**注意:**如果您在运行 AWS 命令行界面 (AWS CLI) 命令时收到错误,请参阅 AWS CLI 错误故障排除。此外,请确保您使用的是最新版本的 AWS CLI。
创建 IAM 实例配置文件,授予对 Amazon S3 的访问权限
完成以下步骤:
- 打开 AWS Identity and Access Management (IAM) 控制台。
- 在导航窗格中的 Access management(访问管理)下,选择 Roles(角色)。
- 选择 Create role(创建角色)。
- 对于 Trusted entity type(可信实体类型),选择 AWS service(AWS 服务)。对于 Service or use case(服务或用例),选择 EC2。对于 Use Case(用例),选择 EC2。
**注意:**当您使用 IAM 控制台创建 IAM 角色并选择 EC2 作为可信实体时,会自动创建 IAM 实例配置文件。新创建的 IAM 实例配置文件与角色同名。但是,如果您使用 AWS CLI 或 API 来创建角色,则不会自动创建实例配置文件。有关详细信息,请参阅我创建了 IAM 角色,但当我启动实例时,该角色没有出现在下拉列表中。我该怎么办? - 选择 Next(下一步)。
- 创建自定义策略,提供访问 S3 存储桶所需的最低权限。
**注意:**创建具有所需最低权限的策略是一种安全最佳实践。但是,要允许 Amazon EC2 访问您的所有 S3 存储桶,请使用 AmazonS3ReadOnlyAccess 或 AmazonS3FullAccess 托管 IAM 策略。 - 选择所需的策略,然后选择 Next(下一步)。
- 输入角色名称,然后选择 Create role(创建角色)。
将 IAM 实例配置文件附加到 EC2 实例
完成以下步骤:
- 打开 Amazon EC2 控制台。
- 在导航窗格中,选择 Instances(实例)。
- 选择您要附加 IAM 角色的实例。
- 选择 Actions(操作),然后选择 Security(安全)。
- 选择 Modify IAM role(修改 IAM 角色)。
- 选择您刚刚创建的 IAM 角色,然后选择 Save(保存)。IAM 角色现已分配给您的 EC2 实例。
验证在您的 S3 存储桶上的权限
完成以下步骤:
- 打开 Amazon S3 控制台。
- 选择要验证其策略的 S3 存储桶链接。
- 选择 Permissions(权限)选项卡。
- 在 Bucket policy(存储桶策略)部分中,搜索包含 Effect: Deny 的语句。
- 编辑 IAM 策略以移除任何 Effect: Deny 语句,这些语句拒绝 IAM 实例配置文件访问您的存储桶。
验证从 EC2 实例到 Amazon S3 的网络连接
先决条件
- 具有公共 IP 地址且路由表条目默认路由指向互联网网关的 EC2 实例。
- 默认路由经过 NAT 网关的私有 EC2 实例。
- 使用网关虚拟私有云 (VPC) 端点连接到 Amazon S3 的私有 EC2 实例。
要对私有 EC2 实例和 S3 存储桶之间的连接进行故障排除,请参阅如何排查网关 Amazon VPC 端点的连接问题?
验证对 S3 存储桶的访问权限
完成以下步骤:
- 在您的 EC2 实例上安装 AWS CLI。
- 运行以下命令以验证对您的 S3 存储桶的访问权限:
**注意:**将 DOC-EXAMPLE-BUCKET 替换为您的 S3 存储桶的名称。aws s3 ls s3://DOC-EXAMPLE-BUCKET
对于使用 AWS Key Management Service (AWS KMS) 密钥加密的 S3 对象,在 IAM 角色和 KMS 密钥策略中授予 kms: Decrypt 权限。如果您不授予 kms:Decrypt 权限,则无法复制或下载 S3 对象。
相关信息
没有评论
