S3桶到桶复制时STS assume role相关的权限问题

0

【以下的问题经过翻译处理】 客户已经确认STS assumed role正常工作,并且可以将本地文件复制到S3存储桶中。

他们遇到的问题是存储桶到存储桶的复制。他们需要哪个IAM策略语句才能实现该功能?除了允许添加和列出对象的权限,是否还需要其他S3权限才能使复制工作?

他们已经确认可以通过普通的本地上传操作进行文件上传,但是从一个存储桶到另一个存储桶的复制无法工作。

这是否需要一个存储桶策略?由于他们使用assumerole,是否与这个有关?

profile picture
专家
已提问 6 个月前13 查看次数
1 回答
0

【以下的回答经过翻译处理】 他们需要在源存储桶上执行GetObject、ListBucket操作。另外他们还需要在目的存储桶上执行PutObject操作。

权限问题不在于命令在哪里执行,而是在于执行命令的对象。

您可以通过存储桶策略或角色来完成此操作。使用存储桶策略需要标识身份主体,我认为会更繁琐一些。

以下是使用角色的示例:将下列policy附加到角色的IAM policy中,并将角色附加到EC2实例或EC2用户上。

以下是策略示例:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SourceBucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-a",
                "arn:aws:s3:::bucket-a/*"
            ]
        },
        {
            "Sid": "DestBucket",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-b",
                "arn:aws:s3:::bucket-b/*"
            ]
        }
    ]
}

profile picture
专家
已回答 6 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则