如何从us-east-1帐户访问在us-west-2区域创建的S3 bucket?
我在us-east-1地区有帐户A,有IAM角色rt-profileRole和我的应用程序设置。帐户B在us-west-1和US-West-2中创建了S3存储桶。
我正在尝试使用aws cli和role RTProfile列出对象。这两个bucket策略都与下面资源相似,具有正确的bucket arn(策略附加到的bucket的bucket arn)。
问题是我可以从我的本地系统中使用aws s3 ls在us-west-1中创建的桶中列出对象。但是,当我对us-west-2中创建的bucket进行相同的尝试时,我遇到了错误。调用ListObjectsV2操作时出现了错误(AccessDenied):访问被拒绝
我累了多个bucket并得出结论,使用帐户一个角色
- 我可以访问在US-East-1中创建的帐户A的桶
- 我可以访问在US-West-1中创建的帐户B的桶
- 我无法访问在US-West-2中创建的帐户B的存储桶。
请帮我了解一下这里的西二区有什么问题。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DelegateS3Access",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::AccountA:role/rt-profileRole"
]
},
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::bucket-name/*",
"arn:aws:s3:::bucket-name"
]
}
]
}
共有1个答案
一旦将bucket策略添加到bucket中,还必须确保角色在其IAM策略中具有特权。
此外,如果您在AWS组织中,请确保帐户A上没有SCP阻止特定区域内的操作。
关于bucket策略,一旦确认bucket可以工作(当前bucket上的每一个S3操作,包括删除),您应该将其范围扩大到希望bucket使用的权限。
-
我们能够从我们当前的代码访问us-east-1,但是我们不能访问US-East-2上的拼花文件。请注意“US-East-2”连接,创建数据流在intellij上运行良好,但当我们从Spark-Shell尝试时,它会给出400个错误。 我想在星火壳上做工作 /users/test/downloads/spark-2.3.3-bin-hadoop2.7/bin/spark-shell-jars/use
-
我试图创建一个路由53记录集从帐户1在帐户2. 通过阅读其他帖子和在线搜索,我想做这样的事情: 想从有经验的人那里知道这是否是正确的方法吗?或者有没有更好的方法来实现上面? 更新代码如下:
-
Github Issue: https://github.com/alibaba/tengine/issues Dingtalk user group: 23394285
-
The jqAmungUs widget is a jQuery plugin that will aide as an alternative to the visitor stats icon that http://whos.amung.us provides and will give more detail to who is currently on your site and alt
-
Just another koa-seed-project. Preview Why 搭建一个 koa 的脚手架并不困难,但就如其他"体力活"一样, 我们并不想重复劳动 其他脚手架生成出来的项目目录结构可能并不是我们想要的 一些基于 Express 和 Koa 类型的框架型项目集成了 ORM 等重量级组件,当然,这本身无可厚非,大家的定位不一样 What we need 我希望只通过一个最小化的"
-
我读了AWS的文档,它没有什么帮助...至少对我来说不是。我已经阅读了有关IAM和EC2上的用户策略。 我使用的区域是eu-west-1(爱尔兰)。我制定了这个政策: null 这是可以的,但它不是我需要的,因为用户可以访问所有EC2实例。 我想知道这是AWS的一个bug还是eu-west-1区域有问题,还是这个策略不支持?或者也许我错了,如果是的话,请帮我怎么做