如何识别哪个策略/角色正在授予对S3桶的访问权限
-
null
是否有一种方法可以跟踪为特定的S3 getObject请求提供访问的策略/角色?
我已经为与认知组相关联的角色运行了IAM策略模拟器,它对有问题的对象给出了拒绝。
我试图正确阻止访问的对象没有为它们设置权限。桶有:
- 阻止新的公共ACL和上载公共对象(建议):True
- 删除通过公共ACL授予的公共访问权限(建议):True
- 阻止新的公共桶策略(推荐):true
- 如果bucket具有公共策略,则阻止公共和跨帐户访问(建议):true
更新我已经在我的buckets中添加了cloudtrail日志记录。当我通过控制台从bucket进行的任何下载都记录eventname='getObject'的事件时,对于通过AWS javascript SDK进行的s3.getObject下载,不会记录任何事件。如何将这些事件记录在日志中?
共有1个答案
使用CloudTrail记录Amazon S3 API调用。
在CloudTrail中为S3操作记录的事件包括关于所请求的操作、操作的日期和时间、请求参数和用户标识的信息,例如:
- ARN:AWS:IAM::123456789012:USER/Alice
- Arn:AWS:STS::123456789012:enceed-role/roletobeBeappensed/mysessionname
-
我们有一个Lambda函数,需要能够访问私有的S3桶。 该存储桶已启用“阻止所有公共访问”,并具有以下资源策略: 我还将AmazonS3FullAccess策略直接附加到Lambda使用的IAM角色。但是,当Lambda函数尝试访问S3存储桶时,会出现访问被拒绝错误: 使用IAM用户凭据连接到S3的外部系统在尝试访问存储桶时也会收到相同的错误。 有人知道是什么导致了这个错误吗? 以下是发生错误的L
-
使用IAM策略模拟器时,似乎必须提供对完整密钥arn的访问(),而不是别名() 有没有更好的办法来管理这个? 我知道我可以使用密钥策略管理对CMKs的访问,并且不允许从IAM进行访问,但是您不能在KMS密钥策略中使用组作为
-
我们的目标是创建只允许登录用户访问S3的S3 bucket和IAM角色策略。 我们在S3 bucket上托管私人文件,可以从web和移动应用程序访问。我们试图通过Amazon Cognito添加一层安全性,使用一个未经身份验证的角色,这样任何登录到我们应用程序的用户都可以访问S3 bucket。 使用AWS-SDK for JS并遵循基本的设置,我们可以在Amazon Cognito identi
-
我最近通过控制台在AWS上创建了一个S3桶,带有默认settigns(显然除了名称)。我尝试编辑桶策略,但得到这个错误:"错误访问拒绝",与我的管理IAM用户和根帐户。 如何获得编辑S3 Bucket策略的权限?
-
我使用CarrierWaveDirect将高分辨率图像上传到s3。然后,我使用该图像处理通过Cloudfront URL公开的多个版本。 上传的高分辨率文件需要对匿名用户保持私有,但web应用程序需要访问私有文件才能对其他版本进行处理。 我目前正在通过将所有上传的文件设置为CarrierWave初始值设定项中的private config.fog_public=假 我有一个允许完全管理员访问的we
-
我按照AWS文档尝试了最简单的案例。我创建了角色,分配给实例并重新启动实例。为了以交互方式测试访问,我登录到Windows实例并运行<code>aws s3api列表对象--bucket testbucket 下一个测试是创建.aws/credentials文件并添加配置文件以承担角色。我修改了角色(分配给实例),并添加了由帐户中的任何用户担任角色的权限。当我运行相同的命令<code>aws s3