S3桶到桶复制时STS assume role相关的权限问题
0
【以下的问题经过翻译处理】 客户已经确认STS assumed role正常工作,并且可以将本地文件复制到S3存储桶中。
他们遇到的问题是存储桶到存储桶的复制。他们需要哪个IAM策略语句才能实现该功能?除了允许添加和列出对象的权限,是否还需要其他S3权限才能使复制工作?
他们已经确认可以通过普通的本地上传操作进行文件上传,但是从一个存储桶到另一个存储桶的复制无法工作。
这是否需要一个存储桶策略?由于他们使用assumerole,是否与这个有关?
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 他们需要在源存储桶上执行GetObject、ListBucket操作。另外他们还需要在目的存储桶上执行PutObject操作。
权限问题不在于命令在哪里执行,而是在于执行命令的对象。
您可以通过存储桶策略或角色来完成此操作。使用存储桶策略需要标识身份主体,我认为会更繁琐一些。
以下是使用角色的示例:将下列policy附加到角色的IAM policy中,并将角色附加到EC2实例或EC2用户上。
以下是策略示例:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SourceBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-a",
"arn:aws:s3:::bucket-a/*"
]
},
{
"Sid": "DestBucket",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-b",
"arn:aws:s3:::bucket-b/*"
]
}
]
}
相关内容
AWS 官方已更新 3 年前- AWS 官方已更新 3 年前