我将我的桶策略错误地配置为拒绝所有用户访问我的 Amazon Simple Storage Service(Amazon S3)桶。
解决方法
无法满足桶策略的条件
如果无法满足桶策略的条件,则您仍然可以重新获得对 Amazon S3 桶的访问权限。要重新获得桶访问权限,请以 AWS 账户根用户身份登录 Amazon S3 控制台。然后,删除桶策略。
**重要事项:**请勿使用根用户身份执行日常任务。将这些凭证的使用限制在需要您以根用户身份登录的任务。根凭证与具有完全管理员访问权限的 AWS Identity and Access Management(IAM)用户或角色不同。您无法将具有允许或拒绝权限的 IAM 策略附加到根账户。
- 以账户根用户身份登录 AWS 管理控制台。
- 打开 Amazon S3 控制台。
- 导航到配置错误的桶。
- 选择权限选项卡。
- 选择桶策略。
- 选择删除。
- 在删除桶策略页面上,在文本字段中输入删除,以确认删除桶策略。
- 选择删除。
- 退出 AWS 管理控制台。
- (可选)账户管理员最好轮换根用户密码。
根用户删除桶策略后,具有桶访问权限的 IAM 用户可应用具有正确权限的新桶策略。有关详细信息,请参阅桶策略示例和使用 Amazon S3 控制台添加桶策略。
可以满足桶策略的条件
如果无法使用根用户账户,则在满足桶策略条件的前提下可以删除该策略。
要重新获得对桶的访问权限,请完成以下步骤:
- 查看桶策略,确定已设置的可以满足的条件。
- 采取步骤以满足桶策略条件。
- 重新获得访问权限后,请更新桶策略以删除或修改限制条件,从而防止将来锁定。
- 测试更改,并确保访问控制级别正确。
如果不确定锁定前应用于桶的策略,请使用 AWS CloudTrail 查看该事件。要使用 CloudTrail 在账户中搜索最近的 PutBucketPolicy 操作,请完成以下步骤:
- 打开 CloudTrail 控制台。
- 在导航窗格中,选择事件历史记录。
- 在事件历史记录页面上的查找属性下,选择事件名称。
- 在输入事件名称字段中,选择 PutBucketPolicy 并按 Enter。
- 选择最近的事件,并查看该事件的详细信息。该事件显示请求和响应参数。这包括桶名称和完整的桶策略。