如何解决S3 对象拒绝访问 - 这些对象来自另一个账户的 AWS CodeBuild 项目
(+)
我刚刚在 petrch 的帮助下找到了一个类似的问题和答案(谢谢!)并且正在尝试申请...
CodeBuild upload build artifact to S3 with ACL
我正在通过 accountA 的 CodeBuild 项目更新 accountB 的 S3 存储桶。
一个问题是,accountA 的 CodeBuild 中的所有对象都拒绝访问。
我的目的是使用这个 S3 存储桶进行静态托管。
我设置了静态托管的所有要求,当我手动上传简单的 index.html 时它工作正常。
但是 accountA 的 CodeBuild 项目中的单个对象显示以下附加错误。
例如) index.html 属性和权限
我在 CodeBuild 项目的工件设置中检查了 disable artifact encryption
选项。
以及覆盖参数,
encryptiondisabled: true
当我将输出保存在同一个帐户 S3 中时,此代码构建项目工作正常。
(AccountA 中的 S3 静态托管站点运行良好)
但是在 accountB 的 S3 中遇到访问问题。
在尝试接触 KMS 策略之前,我想知道我是否遗漏了 CodeBuild 中的某些配置。
请告诉我我必须做什么或错过了什么......
谢谢。
解决方法
(+)
我刚刚在 petrch 的帮助下找到了一个类似的问题和答案(谢谢!)并且正在尝试申请...
CodeBuild upload build artifact to S3 with ACL
使用 bucket-owner-full-control
预制 ACL 上传对象,否则对象仍将被源帐户“拥有”。
看:
https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html
它说:
Amazon S3 访问控制列表 (ACL) 使您能够管理对存储桶和对象的访问。每个存储桶和对象都有一个附加到它的 ACL 作为子资源。它定义了哪些 AWS 账户或组被授予访问权限以及访问类型。当收到针对资源的请求时,Amazon S3 会检查相应的 ACL 以验证请求者是否具有必要的访问权限。 当您创建存储桶或对象时,Amazon S3 会创建一个默认 ACL,授予资源所有者对资源的完全控制权。这显示在以下示例存储桶 ACL 中(默认对象 ACL 具有相同的结构)
所以对象有源bucket的ACL,不是很明显,但是可以在源账户的PutObject动作中提供ACL。所以它仍然可以只是一个电话。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。