使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post

如何對 AWS Transfer Family 伺服器作業出現「存取遭拒」或「權限遭拒」錯誤進行疑難排解?

2 分的閱讀內容
0

當我在 AWS Transfer Family 伺服器上執行讀取、寫入、列出或刪除作業時,我收到「存取遭拒」或「權限遭拒」錯誤。

解決方法

若要對 Transfer Family 設定問題進行疑難排解,請修改相關 AWS 服務的權限。

Amazon S3 權限

確認 Transfer Family 伺服器的 AWS Identity and Access Management (IAM) 角色和政策授予對 AWS 資源的存取權。若要授予對 Amazon Simple Storage Service (Amazon S3) 儲存貯體的讀取/寫入存取權限,請使用下列 IAM 政策範例:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowListingOfUserFolder",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        },
        {
            "Sid": "HomeDirObjectAccess",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObjectVersion",
                "s3:GetObjectACL",
                "s3:PutObjectACL"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

確保角色信任政策允許存取「transfer.amazonaws.com」並且類似於以下內容:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "transfer.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

如需詳細資訊,請參閱讀取/寫入存取政策範例

AWS KMS 加密權限

若要允許在 Transfer Family 中進行加密,附加到使用者的 IAM 角色政策必須授予所需的 AWS Key Management Service (KMS) 權限。

若要授予使用 Transfer Family 的權限,其中啟用了 AWS KMS 加密的 Amazon S3 儲存貯體,請使用下列範例:

{
    "Sid": "Stmt1544140969635",
    "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKey",
        "kms:GetPublicKey",
        "kms:ListKeyPolicies"
    ],
    "Effect": "Allow",
    "Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}

如需詳細資訊,請參閱資料保護和加密

Amazon EFS 權限

若要將 Transfer Family 與 Amazon Elastic File System (Amazon EFS) 結合使用,IAM 角色政策必須授予對您檔案系統的存取權。

若要向 IAM 角色 EFS-role-for-transfer 授予 ClientMount 讀取操作和 ClientWrite 寫入動作權限,請使用下列範例 IAM 政策:

{
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-8698b356-4212-4d30-901e-ad2030b57762",
    "Statement": [
        {
            "Sid": "Grant-transfer-role-access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/EFS-role-for-transfer"
            },
            "Action": [
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientMount"
            ]
        }
    ]
}

如需詳細資訊,請參閱使用 AWS Transfer Family 傳輸資料

跨帳戶權限

若要使用 Transfer Family 透過另一個 AWS 帳戶存取您的檔案系統,您必須授予該帳戶對您檔案系統的存取權

如需詳細資訊,請參閱如何將 AWS Transfer Family 伺服器設定為使用另一個 AWS 帳戶中的 Amazon S3 儲存貯體?

主題
遷移與現代化
標籤
AWS Transfer Family
語言
中文 (繁體)
AWS 官方
AWS 官方已更新 4 個月前
沒有評論

相關內容